TTTN

TRƯỜNG ĐẠI HỌC GIAO THÔNG VẬN TẢI TP.
HỒ CHÍ MINH
KHOA CÔNG NGHỆ THÔNG TIN
----------------
THỰC TẬP TỐT NGHIỆP
TRIỂN KHAI VÀ QUẢN LÝ MÔ HÌNH MẠNG DOANH

NGHIỆP
KHOA: CÔNG NGHỆ THÔNG TIN
CHUYÊN NGÀNH: MẠNG MÁY TÍNH VÀ TRUYỀN THÔNG

DỮ LIỆU
Giảng viên hướng dẫn: Ts. Trần Thế Vinh
Sinh viên thực hiện:
Họ và tên: Nguyễn Thế Hiển

MSSV: 1951150065 Lớp: KM19
Họ và tên: Nguyễn Trọng Tín
MSSV: 2051120171 Lớp: CN20B
Họ và tên: Nguyễn Long Nhật
MSSV:2051120150 Lớp:CN20B
TP. Hồ Chí Minh, 2023
NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
Hồ Chí Minh ........Tháng....... Năm 2023
Chữ ký GVHD
NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
.......................................................................................................................................
Hồ Chí Minh ........Tháng....... Năm 2023
Chữ ký GVPB
MỤC LỤC
MỤC LỤC...................................................................................................................i
DANH MỤC HÌNH ẢNH..........................................................................................v
DANH MỤC CÁC TỪ VIẾT TẮT..........................................................................vii
LỜI CAM ĐOAN......................................................................................................ix
LỜI CẢM ƠN.............................................................................................................x
LỜI MỞ ĐẦU.............................................................................................................1
CHƯƠNG 1: GIỚI THIỆU ĐỀ TÀI...........................................................................2
1.1 Giới thiệu chung................................................................................................2
1.2 Mục tiêu của đề tài............................................................................................3
1.3 Nhiệm vụ của đề tài...........................................................................................4
1.4 Kết quả đạt được...............................................................................................4
1.5 Bố cục đề tài......................................................................................................4
CHƯƠNG 2: CƠ SỞ LÝ THUYẾT...........................................................................5
2.1 Khái quát hệ điều hành Linux...........................................................................5
2.1.1 Khái niệm về Linux.....................................................................................6
2.1.2 Các ưu điểm và nhược điểm của hệ điều hành Linux.................................6
2.2 Tổng quan về VPN............................................................................................7
2.2.1 VPN là gì?..................................................................................................8
2.2.2 Lợi ích của VPN.........................................................................................8
2.2.3 Chức năng VPN..........................................................................................9
2.2.4 Cách thức hoạt động của VPN.................................................................10

I
2.3 Tổng kết chương 2..........................................................................................11
CHƯƠNG 3 XÂY DỰNG VPN CLIENT - TO - SITE...........................................12
3.1 Tổng quan VPN client - to - site (Remote Access VPN)................................12
3.2 Một số thành phần chính.................................................................................13
3.3 Ứng dụng.........................................................................................................13
3.4 Ưu điểm và nhược điểm của hệ thống.............................................................14
3.4.1 Ưu điểm....................................................................................................14
3.4.2 Nhược điểm...............................................................................................14
3.5 Giao thức OpenVPN.......................................................................................15
3.5.1 Tổng quan.................................................................................................15
3.5.2 Cách thức hoạt động.................................................................................16
3.6 Lab cấu hình VPN client-to-site......................................................................17
3.6.1 Cấu hình VPN client-to-site......................................................................17
3.6.2 Đăng nhập................................................................................................20
3.7 Tổng kết chương 3..........................................................................................21
CHƯƠNG 4 XÂY DỰNG VPN SITE - TO – SITE TRÊN LINUX.......................22
4.1 Tổng quan về VPN site-to-site........................................................................22
4.1.1 Khái niệm về VPN site-to-site...................................................................22
4.1.2 Lợi ích của VPN site-to-site......................................................................23
4.1.3 Hạn chế của VPN site-to-site....................................................................23
4.1.4 Ứng dụng của VPN site-to-site.................................................................24
4.2 Mô hình VPN site-to-site................................................................................25
4.3 Sơ lược về Strongswan....................................................................................26
II
4.4 Lab cấu hình VPN site-to-site.........................................................................26
4.4.1 Chuẩn bị...................................................................................................26
4.4.2 Cấu hình VPN Strongswan.......................................................................29
4.4.3 Kiểm tra kết nối site – to - site giữa 2 server...........................................33
4.5 Tổng kết chương 4..........................................................................................39
CHƯƠNG 5: VPN VỚI IPSEC TRÊN MÔI TRƯỜNG LINUX.............................40
5.1 Tổng quan IPSec.............................................................................................40
5.1.1 Khái niệm về IPSec...................................................................................40
5.1.2 IPsec trên VPN.........................................................................................40
5.2 Cách thức hoạt động của IPSec.......................................................................41
5.3 Kiến trúc IPSec................................................................................................42
5.4 Các giao thức sử dụng trong IPSec.................................................................43
5.4.1 Giao thức AH............................................................................................43
5.4.2 Giao thức Encapsulating Security Payload (ESP)...................................44
5.4.3 Quản lý khóa với Internet Key Exchange (IKE).......................................45
5.5 Ưu và nhược điểm của VPN sử dụng IPSEC..................................................46
5.5.1 Ưu điểm....................................................................................................46
5.5.2 Nhược điểm...............................................................................................47
5.6 Giao thức đường hầm L2TP...........................................................................47
5.6.1 Khái niệm..................................................................................................47
5.6.2 Cách thức hoạt động.................................................................................48
5.6.3 Ưu nhược điểm của L2TP.........................................................................48
5.7 Lab cấu hình L2TP/IPSEC..............................................................................49
5.7.1 Chuẩn bị...................................................................................................49

III
5.7.2 Các bước cài đặt.......................................................................................50
5.7.3 Kiểm tra kết quả.......................................................................................54
5.8 Tổng kết chương 5..........................................................................................57
CHƯƠNG 6 KẾT LUẬN.........................................................................................58
6.1 Kết luận...........................................................................................................58
6.2 Hướng phát triển.............................................................................................59
TÀI LIỆU THAM KHẢO........................................................................................60
IV
DANH MỤC HÌNH ẢNH
Hình 2.1 Mô hình VPN...............................................................................................8
Hình 2.2 Cách thức hoạt động..................................................................................11
Hình 3.1 VPN client to site.......................................................................................12
Hình 3.2 Thiết lập một VPN remote access..............................................................13
Hình 3.3 Cách thức hoạt động..................................................................................16
Hình 3.4 Mô hình VPN client – to - site...................................................................17
Hình 3.5 Giao diện đăng nhập admin.......................................................................19
Hình 3.6 Kết nối VPN client – to - site thành công..................................................20
Hình 3.7 Giao diện quản trị client – to - site.............................................................21
Hình 4.1 Mô hình VPN site – to - site......................................................................25
Hình 4.2 IP máy Linux server site 1.........................................................................26
Hình 4.3 IP máy Linux server site 2.........................................................................27
Hình 4.4 IP máy client site 1.....................................................................................27
Hình 4.5 IP máy client site 2.....................................................................................28
Hình 4.6 Kiểm tra các biến.......................................................................................29
Hình 4.7 File cấu hình /strongswan/ipsec.conf site 1...............................................29
Hình 4.8 Cấu hình file /etc/strongswan/ipsec.secrets site 1 với mã PSK.................30
Hình 4.9 File cấu hình /strongswan/ipsec.conf site 2...............................................31
Hình 4.10 Cấu hình file /etc/strongswan/ipsec.secrets site 2 với mã PSK...............32
Hình 4.11 Kiểm tra Strongswan site 1......................................................................33
Hình 4.12 Kiểm tra trạng thái của Strongswan.........................................................33
Hình 4.13 Kết nối site 2 thành công.........................................................................34
Hình 4.14 Kiểm tra Strongswan site 2......................................................................35

V
Hình 4.15 Kiểm tra trạng thái của Strongswan.........................................................35
Hình 4.16 Kết nối site 1 thành công.........................................................................36
Hình 4.17 Kiểm tra route của client 1.......................................................................37
Hình 4.18 Kết nối với client site 2 thành công.........................................................37
Hình 4.19 Kết nối với server site 2 thành công........................................................37
Hình 4.20 Kiểm tra route của client 2.......................................................................38
Hình 4.21 Kết nối với client site 1 thành công.........................................................38
Hình 4.22 Kết nối với server site 1 thành công........................................................38
Hình 5.1 Mô hình L2TP/IPSec.................................................................................49
Hình 5.2 Các thông số trong nhân Linux..................................................................50
Hình 5.3 Cấu hình IPSec...........................................................................................51
Hình 5.4 Cấu hình mật khẩu PSK.............................................................................51
Hình 5.5 Kiểm tra dịch vụ IPSec..............................................................................52
Hình 5.6 Cấu hình dịch vụ xl2tpd.............................................................................53
Hình 5.7 Cấu hình options.xl2tpd.............................................................................53
Hình 5.8 Khai báo username và password................................................................53
Hình 5.9 Cấu hình Firewall.......................................................................................54
Hình 5.10 Đăng nhập địa chỉ máy chủ......................................................................55
Hình 5.11 Đăng nhập tên và mật khẩu......................................................................55
Hình 5.12 Đăng nhập VPN thành công....................................................................56
Hình 5.13 Kết nối VPN thành công..........................................................................56
DANH MỤC CÁC TỪ VIẾT TẮT
Từ viết tắt Tiếng anh Tiếng việt
AH Authentication Header Xác thực nguồn gốc dữ liệu

VI
ATM Asynchronous Transfer Mode Giao thức
Community Enterprise Operating

CentOS Bản phân phối linux
System
DOI Domain of Interpretation Miền thực thi
ESP Encapsulating Security Giao thức trong IPSec
Hypertext Transfer Protocol Giao thức giúp chuyển tải

HTTPS
Secure siêu văn bản vô cùng an toàn
GNU Image Manipulation

GIMP Trình chỉnh sửa hình ảnh
Program
GRE Genenic Routing Encapsulation Giao thức đường hầm
IKE Internet Key Exchange Giao thức trao đổi khoá
Giao thức mật mã bảo vệ lưu

IPSec IP security lượng dữ liệu qua mạng
Internet Protocol
Nhà cung cấp dịch vụ

ISP Internet Service Provider
Internet
L2F Layer 2 Forwarding Giao thức đường hầm
Giao thức định đường hầm

L2TP Layer 2 Tunneling Protocol
lớp 2
LAN Local Area Network Mạng máy tính cục bộ
Kỹ thuật để tăng tốc kết nối

MPLS MultiProtocol Label Switching
mạng
PPTP Point-to-Point Tunneling Protocol Giao thức đường hầm

VII
RAS Remote Access Server Dịch vụ truy nhập từ xa
RHEL Red Hat Enterprise Linux Bản phân phối Linux
RSS Really Simple Syndication Trình đọc
SA Security Association Liên kết bảo mật
Thiết lập kết nối được mã

SSL Secure Sockets Layer
hóa an toàn
Software Und System- Phần mềm và phát triển hệ

SUSE
Entwicklung thống
Transmission Control Protocol/ Giao thức điều khiển truyền

TCP/IP
Internet Protocol nhận/ Giao thức liên mạng
Giao thức cốt lõi của giao

UDP User Datagram Protocol
thức TCP/IP
VPN Virtual Private Network Mạng riêng ảo
WAN Wire Area Network Mạng diện rộng
LỜI CAM ĐOAN

VIII
Chúng em cam đoan đề tài “Triển khai và quản lý mô hình mạng doanh nghiệp”
là của nhóm thực hiện.
Chúng em hoàn toàn chịu trách nhiệm về tính trung thực của các nội dung trong đề
tài của mình.
HCM, ngày tháng năm 2023 HCM, ngày tháng năm 2023
Sinh viên Sinh viên

Ký tên Ký tên
Nguyễn Long Nhật Nguyễn Trọng Tín
HCM, ngày tháng năm 2023
Sinh viên
Ký tên
Nguyễn Thế Hiển
IX
LỜI CẢM ƠN
Để hoàn thành được đề tài này, em xin gửi lời cảm ơn sâu sắc đến thầy Trần
Thế Vinh đã tận tình hướng dẫn và tạo điều kiện cho chúng em tìm hiểu về đề tài
“Triển khai và quản lý mô hình mạng doanh nghiệp” cũng như đã chỉ bảo em
trong quá trình làm thực tập tốt nghiệp.
Em cũng xin cảm ơn các thầy cô giáo trong Trường Đại học Giao thông vận tải
Thành phố Hồ Chí Minh nói chung và trong khoa Công Nghệ Thông Tin nói riêng
đã cung cấp kiến thức, giúp em có cơ sở lý thuyết vững vàng. Tạo điều kiện tốt cho
em thực hiện được đề tài này.
Cuối cùng, em xin chân thành cảm ơn và kính chúc quý thầy cô dồi dào sức
khỏe để tiếp tục dẫn dắt thêm nhiều lớp sinh viên tài giỏi.
HCM, ngày tháng năm 2023 HCM, ngày tháng năm 2023
Sinh viên Sinh viên

Ký tên Ký tên
Nguyễn Long Nhật Nguyễn Trọng Tín
HCM, ngày tháng năm 2023
Sinh viên
Ký tên
Nguyễn Thế HIển
X
LỜI MỞ ĐẦU
Hiện nay, Internet đã phát triển mạnh mẽ cả về mặt mô hình lẫn tổ chức, đáp
ứng khá đầy đủ các nhu cầu của người sử dụng. Internet đã được thiết kế để kết nối
nhiều mạng với nhau và cho phép thông tin chuyển đến người sử dụng một cách tự
do và nhanh chóng. Để làm được điều này người ta sử dụng một hệ thống các thiết
bị định tuyến để kết nối các LAN và WAN với nhau. Các máy tính được kết nối vào
Internet thông qua các nhà cung cấp dịch vụ ISP. Với Internet, những dịch vụ như
đào tạo từ xa, mua hàng trực tuyến, tư vấn các lĩnh vực và rất nhiều điều khác đã trở
thành hiện thực. Tuy nhiên do Internet có phạm vi toàn cầu và không một tổ chức,
chính phủ cụ thể nào quản lý nên rất khó khăn trong việc bảo mật và an toàn dữ
liệu, cũng như việc quản lý dịch vụ.
Các doanh nghiệp có chuỗi chi nhánh, cửa hàng ngày càng trở nên phổ biến.
Do đó, để kiểm soát, quản lý, tận dụng tốt nguồn tài nguyên, nhiều doanh nghiệp đã
triển khai giải pháp phần mềm quản lý nguồn tài nguyên có khả năng hỗ trợ truy
cập, truy xuất thông tin từ xa. Tuy nhiên, việc truy xuất cơ sở dữ liệu từ xa luôn đòi
hỏi cao về vấn đề an toàn, bảo mật
Để giải quyết vấn đề trên, nhiều doanh nghiệp đã chọn giải pháp mô hình
mạng riêng ảo VPN. Trong thực tế, cấu hình VPN trên Windows chiếm đa số nhưng
chi phí và giá thành lại cao, tính bảo mật và an toàn dữ liệu ít đảm bảo. Vì thế cấu
hình VPN trên hệ điều hành Linux đã ra đời để giải quyết những vấn đề trên. Vì hệ
điều hành Linux có tính linh hoạt, chạy nhanh hơn và ổn định hơn hệ điều hành
Windows vì thế người ta thường dùng hệ điều hành Linux để làm máy chủ. Nhưng
hệ điều hành Windows lại được dùng làm server nhiều hơn vì dễ sử dụng, giao diện
đồ họa tốt, được nhiều người biết đến.
Chính vì vậy, nên nhóm đã chọn đề tài “Triển khai và quản lý mô hình mạng doanh
nghiệp” làm đồ án thực tập tốt nghiệp. Nhằm nghiên cứu và tạo cơ hội học tập, xây
1
dựng một hệ thống VPN thực tế đóng góp một phần nhỏ trong việc phát triển doanh
nghiệp.
2
CHƯƠNG 1: GIỚI THIỆU ĐỀ TÀI
1.1 Giới thiệu chung
Hiện nay, Internet được phổ biến rộng rãi và ngày càng hiện đại. Chính vì sự
phổ biến của Internet nên việc bảo vệ thông tin cá nhân là điều cần thiết trước
những Hacker, điều này không chỉ những cá nhân mà còn cả doanh nghiệp, hàng
năm việc mất thông tin trong các doanh nghiệp vẫn xảy ra triền miên và cũng đã có
nhiều vụ lớn đã lên báo, chính vì thế việc bảo mật thông tin cho doanh nghiệp mang
tính cấp thiết và quan trọng hàng đầu. Từ đó người ta đưa ra một mô hình mới nhằm
thỏa mãn nhu cầu trên mà vẫn có thể tận dụng lại những cơ sở hạ tầng hiện có của
Internet, đó chính là mô hình mạng riêng ảo (Virtual Private Network - VPN) đó
cũng chính là một trong những lý do mà nhóm chọn đề tài này.
Trong thực tế hiện nay, cấu hình VPN trên Windows Server chiếm đa số
nhưng chi phí và giá thành lại cao, cùng với sự phát triển vượt bậc của công nghệ
Hacking nên tính bảo mật và an toàn dữ liệu trên hệ thống Windows đang đứng
trước tình trạng nguy hiểm hơn bao giờ hết. Nhằm tiết kiệm tiền bạc, đảm bảo tính
bảo mật và an toàn dữ liệu, vì thế cấu hình VPN trên hệ điều hành Linux đã ra đời
để giải quyết những vấn đề trên. Trong đó, CentOS (Community Enterprise
Operating System) là một phân phối của hệ điều hành Linux được phát triển từ
RHEL (Red Hat Enterprise Linux) là một hệ điều hành mã nguồn mở và hoàn toàn
miễn phí và có thể thích hợp với các phần mềm chạy trên Red Hat. Vì hệ điều hành
Linux có tính linh hoạt cao hơn hệ điều hành Windows, thường dùng command line
để cấu hình chứ không dùng giao diện đồ họa như Windows. Hệ thống chạy trên hệ
điều hành Linux thường nhanh hơn và ổn định hơn vì thế người ta thường dùng
CentOS để làm máy chủ. Chính vì sự tiện lợi và an toàn của nó, VPN được triển
khai nhiều ở các doanh nghiệp, trường học, bệnh viện.
1.2 Mục tiêu của đề tài

 Tổng hợp các kiến thức về VPN tới người đọc một cách đầy đủ nhất.
3
 Triển khai VPN server hoàn chỉnh trên hệ điều hành Linux.
 Xây dựng hệ thống VPN client – to – site để người dùng có thể kết nối từ xa
vào mạng riêng ảo của công ty.
 Xây dựng hệ thống VPN site – to – site có thể kết nối được các mạng LAN lại
với nhau.
 Xây dựng hệ thống VPN kết hợp IPSec có thể đảm bảo tính bảo mật cho hệ
thống.
 Tổng quát bài báo cáo tới người nghe và người đọc một cách dễ hiểu nhất.
1.3 Nhiệm vụ của đề tài

 Tìm hiểu và nghiên cứu tất cả kiến thức có liên quan đến hệ điều hành Linux
và VPN (Virtual Private Network).
 Nghiên cứu và xây dựng hệ thống VPN client – to – site, site – to – site và
IPSec trên hệ điều hành Linux theo đúng mục tiêu đề ra.
 Hoàn thành bài báo cáo một dễ đọc dễ nhìn và chi tiết nhất.
1.4 Kết quả đạt được

Tìm hiểu và nghiên cứu những ưu điểm của hệ thống VPN khi chuyển từ hệ
thống Windows sang hệ thống mã nguồn mở, từ đó thấy được những lợi ích nhất
định khi sử dụng hệ điều hành mã nguồn mở để xây dựng mạng riêng ảo.
Hoàn thành nhiệm vụ của đề tài đưa ra, xây dựng thành công hệ thống mạng
riêng ảo trên trên hệ điều hành Linux với các thiết bị và cơ sở hạ tầng phù hợp với
sự phát triển của kỹ thuật và phù hợp với nền kinh tế tài chính Việt Nam hiện tại.
1.5 Bố cục đề tài

Báo cáo được chia thành 7 chương, với nội dung các chương như sau:
 Chương 1: Giới thiệu đề tài

Đề tài VPN là một trong những đề tài nóng hiện nay vì nó rất gần gũi với
doanh nghiệp. Vì vậy, trong chương 1 sẽ giải thích và giới thiệu sơ lược các
4
mục tiêu, lý do chọn đề tài tìm hiểu và xây dựng hệ thống VPN trên hệ điều
hành Linux.
 Chương 2: Cơ sở lý thuyết
Để xây dựng một hệ thống VPN là điều rất khó khăn và điều đầu tiên trước
khi xây dựng một hệ thống VPN ta phải nắm vững những kiến thức nền tảng
từ đó làm cơ sở cho quá trình xây dựng hệ thống VPN trên hệ điều hành
Linux. Vì thế trong chương này sẽ đưa ra các cơ sở lý thuyết, các khái niệm
liên quan đến hệ điều hành Linux, VPN, và các ứng dụng, lợi ích của nó nhằm
phục vụ cho việc xây dựng hệ thống VPN trên Linux.
 Chương 3: Xây dựng VPN client – to – site
VPN client – to – site là một trong những dịch vụ mạng được các doanh
nghiệp sử dụng khá nhiều hiện nay. Nhóm đã sử dụng giao thức OpenVPN để
xây dựng hệ thống. OpenVPN là một trong những giao thức phổ biến để xây
dựng hệ thống VPN trên nền tảng CentOS vì sự tiện lợi và cấu hình một cách
dễ dàng mà vẫn đáp ứng đầy đủ nhu cầu của một hệ thống VPN cần thiết.
 Chương 4: Xây dựng VPN site – to - site
Để kết nối các mạng LAN lại với nhau nhằm mở rộng hệ thống VPN trong
doanh nghiệp thì không thể không nhắc đến hệ thống VPN site – to – site.
Trong chương này nhóm đã sử dụng giao thức Strongswan để xây dựng hệ
thống VPN site – to – site nó không chỉ giúp cho cấu hình dễ dàng mà còn
đảm bảo tính an toàn trong hệ thống, đặc biệt có sử dụng IPSec để cấu hình
điều này rất tốt cho VPN.
 Chương 5: VPN với IPSec trên môi trường Linux
Một hệ thống VPN hoàn chỉnh phải có đầy đủ các tính năng bảo mật và mã
hóa đường truyền để dữ liệu truyền đi một cách an toàn vì thế sự kết hợp
L2TP/IPSec chính là sự lựa chọn tốt nhất để xây dựng hệ thống VPN với đầy
đủ các tính năng bảo mật.
5
 Chương 6: Kết luận
Trong chương này sẽ đưa ra các đánh giá kết luận về đề tài cũng như quá trình
xây dựng lên hệ thống VPN và nêu ra hướng phát triển cho đề tài.
6
CHƯƠNG 2: CƠ SỞ LÝ THUYẾT
Trong phần đầu tiên của bài trình bày này, nhóm chúng tôi xin được giới thiệu
đôi lời về những đặc điểm đặc biệt của hệ điều hành Linux, và quan trọng hơn hết
trong chương này nhóm sẽ trình về các khái niệm, cách thức hoạt động và ưu nhược
điểm của VPN.
2.1 Khái quát hệ điều hành Linux

2.1.1 Khái niệm về Linux
Hệ điều hành Linux được sử dụng để miêu tả tổng thể một hệ điều hành
tương tự Unix (còn được biết đến dưới tên GNU/Linux) được tạo ra bởi việc
đóng gói nhân Linux cùng với các thư viện và công cụ GNU, cũng như là các
bản phân phối Linux. Thực tế thì đó là tập hợp một số lượng lớn các phần
mềm như máy chủ web, các ngôn ngữ lập trình, các hệ quản trị cơ sở giữ liệu
và các môi trường desktop. Một trong những tính năng chính của Linux là bản
chất mã nguồn mở của nó, có nghĩa là mã nguồn của hệ điều hành được cung
cấp miễn phí cho mọi người, sửa đổi và phân phối.
2.1.2 Các ưu điểm và nhược điểm của hệ điều hành Linux

Một số ưu điểm của việc sử dụng hệ điều hành Linux bao gồm:
 Hệ điều hành mã nguồn mở: Linux là một hệ điều hành nguồn mở

Core Linux được phát hành theo giấy phép phần mềm mã nguồn
mở GNU GPL. Hầu hết các bản phân phối bao gồm hàng trăm
ứng dụng, với nhiều tùy chọn trong hầu hết các danh mục. Nhiều
bản phân phối cũng bao gồm phần mềm độc quyền, chẳng hạn
như trình điều khiển thiết bị do nhà sản xuất cung cấp, để hỗ trợ
phần cứng của họ, cho phép các nhà phát triển sửa đổi và phân
phối hệ điều hành khi họ thấy phù hợp.
 Bảo mật: Linux được biết đến là một hệ điều hành an toàn, vì nó
ít bị nhiễm vi-rút và phần mềm độc hại hơn các hệ điều hành
7
khác. Điều này một phần là do thiết kế của nó, cũng như thực tế
là nó không được sử dụng phổ biến như các hệ điều hành khác.
 Tính ổn định: Linux được biết đến với tính ổn định và độ tin cậy,
khiến nó trở thành lựa chọn lý tưởng để sử dụng trong các máy
chủ và các ứng dụng quan trọng khác.
 Khả năng tùy chỉnh: Linux có khả năng tùy biến cao, nghĩa là nó
có thể được điều chỉnh để phù hợp với nhu cầu cụ thể của người
dùng và tổ chức. Điều này có thể dẫn đến tăng hiệu quả và năng
suất.
 Khả năng tương thích: Linux tương thích với nhiều loại phần
cứng, có nghĩa là nó có thể được sử dụng trên nhiều loại thiết bị,
từ điện thoại thông minh và máy tính bảng đến máy tính để bàn
và máy chủ. Hệ điều hành Linux và các hệ điều hành mã nguồn
mở khác có xu hướng được cập nhật thường xuyên cho các bản
vá bảo mật và chức năng, trong khi vẫn giữ được chức năng cốt
lõi. Cấu hình và tập lệnh shell có thể hoạt động không thay đổi
ngay cả khi áp dụng các bản cập nhật phần mềm.
 Chi phí: Linux thường miễn phí sử dụng, điều này có thể khiến nó
trở thành một lựa chọn hấp dẫn cho các doanh nghiệp và cá nhân
đang muốn tiết kiệm tiền.
Nhược điểm: Một số nhược điểm của việc sử dụng hệ điều hành Linux
bao gồm:
 Tốc độ internet chậm hơn: Vì lưu lượng truy cập internet phải
được mã hóa và định tuyến qua máy chủ VPN nên đôi khi có thể
dẫn đến tốc độ internet chậm hơn so với khi không sử dụng VPN.
 Vị trí máy chủ hạn chế: Một số dịch vụ VPN có thể có số lượng vị
trí máy chủ hạn chế để lựa chọn, điều này có thể ảnh hưởng đến
tốc độ và độ tin cậy của kết nối.
8
 Khả năng rò rỉ DNS: Trong một số ít trường hợp, VPN có thể làm
rò rỉ các yêu cầu DNS của bạn, điều này có thể tiết lộ hoạt động
duyệt web của bạn cho nhà cung cấp dịch vụ internet hoặc các bên
thứ ba khác.
 Phần mềm độc quyền: Phần mềm năng suất máy tính để bàn như
Microsoft Office không thể được sử dụng trên máy tính để bàn
Linux và phần mềm độc quyền khác có thể không khả dụng cho
nền tảng Linux.
2.2 Tổng quan về VPN

VPN (Mạng riêng ảo) là công nghệ mạng cho phép người dùng kết
nối an toàn với mạng riêng qua Internet. VPN mã hóa dữ liệu giữa thiết bị
của người dùng và máy chủ VPN, khiến người khác khó có thể chặn hoặc
đọc dữ liệu. Điều này có thể đặc biệt hữu ích để bảo vệ dữ liệu nhạy cảm,
chẳng hạn như thông tin xác thực đăng nhập, thông tin tài chính hoặc dữ liệu
kinh doanh bí mật. VPN hoạt động bằng cách tạo kết nối an toàn và được mã
hóa giữa thiết bị của người dùng và máy chủ VPN được đặt ở nơi khác trên
thế giới. Kết nối này được thực hiện thông qua việc sử dụng các giao thức
VPN, giao thức này chỉ định cách dữ liệu được mã hóa và truyền giữa thiết
bị của người dùng và máy chủ VPN.
2.2.1 VPN là gì?
Mạng riêng ảo hay VPN (virtual private network) là một mạng riêng để
kết nối các máy tính của các công ty, tập đoàn hay các tổ chức với nhau thông
qua mạng Internet công cộng. Các lợi ích của mạng riêng ảo bao gồm tăng
cường chức năng bảo mật và quản lý mạng riêng. Nó cung cấp quyền truy cập
vào các tài nguyên không thể truy cập được trên mạng công cộng và thường
được sử dụng cho các nhân viên làm việc từ xa
Mục đích chính của VPN là cung cấp cho bạn quyền riêng tư và bảo mật
trực tuyến. Bằng cách mã hóa lưu lượng truy cập internet của bạn, VPN ngăn
9
không cho bất kỳ ai chặn hoặc theo dõi hoạt động trực tuyến của bạn. Điều
này đặc biệt quan trọng khi bạn đang sử dụng mạng Wi-Fi công cộng, thường
không an toàn và có thể dễ dàng bị tấn công. Ngoài ra, VPN có thể giúp bạn
bỏ qua các hạn chế và kiểm duyệt về địa lý. Ví dụ: nếu bạn đang ở một quốc
gia nơi một số trang web hoặc dịch vụ nhất định bị chặn, bạn có thể sử dụng
VPN để kết nối với máy chủ ở một địa điểm khác không áp dụng các hạn chế
đó.
Hình 2.1 Mô hình VPN
2.2.2 Lợi ích của VPN

VPN cung cấp nhiều đặc tính hơn so với những mạng truyền thông và
những mạng leased-line. Những lợi ích đầu tiên bao gồm:
 Bảo mật: VPN mã hóa tất cả lưu lượng dữ liệu giữa thiết bị của bạn và
máy chủ VPN, khiến mọi người rất khó chặn hoặc đọc dữ liệu. Điều
này đặc biệt quan trọng khi sử dụng mạng Wi-Fi công cộng, mạng này
có thể dễ bị tin tặc tấn công.
 Quyền riêng tư: VPN ẩn địa chỉ IP và vị trí của bạn, khiến các trang
web và dịch vụ trực tuyến khó theo dõi các hoạt động trực tuyến và
10
nhận dạng bạn hơn nhiều. Điều này đặc biệt hữu ích để bảo vệ sự riêng
tư và ẩn danh trực tuyến của bạn.
 Truy cập vào nội dung bị giới hạn địa lý: VPN có thể được sử dụng để
truy cập nội dung có thể bị giới hạn ở vị trí của bạn, chẳng hạn như
dịch vụ phát trực tuyến hoặc trang web chỉ khả dụng ở một số quốc gia.
 Vượt qua kiểm duyệt internet: VPN có thể được sử dụng để vượt qua
kiểm duyệt internet ở các quốc gia nơi một số trang web hoặc dịch vụ
trực tuyến bị chặn.
 Truy cập từ xa: VPN có thể được sử dụng để truy cập từ xa các tệp và
tài nguyên trên mạng của công ty, cho phép nhân viên làm việc tại nhà
hoặc khi đi du lịch.
 Cải thiện hiệu suất: VPN có thể cải thiện hiệu suất kết nối internet của
bạn bằng cách giảm độ trễ và cải thiện tốc độ tải xuống và tải lên.
 Tiết kiệm chi phí: VPN có thể giảm chi phí khi truyền tới 20-40% so
với những mạng thuộc mạng leased-line và giảm việc chi phí truy cập
từ xa từ 60-80%.
VPN có thể mang lại một số lợi ích quan trọng cho cá nhân và doanh
nghiệp, bao gồm cải thiện bảo mật, quyền riêng tư, quyền truy cập nội dung và
quyền truy cập từ xa vào tài nguyên của công ty.
2.2.3 Chức năng VPN
VPN cung cấp các chức năng:
 Chức năng chính của VPN (Mạng riêng ảo) là cung cấp kết nối an
toàn và được mã hóa giữa thiết bị của bạn và máy chủ từ xa, có
thể được đặt ở mọi nơi trên thế giới. Điều này tạo ra một "đường
hầm" riêng tư và an toàn giữa thiết bị của bạn và internet, giúp
bảo vệ các hoạt động trực tuyến của bạn khỏi bị các bên thứ ba
theo dõi, giám sát hoặc chặn.
11
 Mã hóa: VPN mã hóa tất cả lưu lượng dữ liệu giữa thiết bị của
bạn và máy chủ từ xa, khiến mọi người rất khó chặn hoặc đọc dữ
liệu.
 Mặt nạ địa chỉ IP: VPN ẩn địa chỉ IP và vị trí của bạn, khiến các
trang web và dịch vụ trực tuyến khó theo dõi các hoạt động trực
tuyến và nhận dạng bạn hơn nhiều.
 Che dấu vị trí: VPN cho phép bạn xuất hiện như thể bạn đang truy
cập internet từ một vị trí khác với vị trí thực tế của bạn, điều này
có thể hữu ích để truy cập nội dung bị giới hạn địa lý hoặc bỏ qua
kiểm duyệt internet.
 Truy cập nội dung bị chặn: VPN có thể được sử dụng để truy cập
nội dung có thể bị chặn ở vị trí của bạn, chẳng hạn như dịch vụ
phát trực tuyến hoặc trang web chỉ khả dụng ở một số quốc gia.
 Truy cập từ xa: VPN có thể được sử dụng để truy cập từ xa các
tệp và tài nguyên trên mạng của công ty, cho phép nhân viên làm
việc tại nhà hoặc khi đi du lịch.
 Bảo vệ quyền riêng tư: VPN có thể cung cấp thêm một lớp bảo vệ
quyền riêng tư bằng cách ngăn nhà cung cấp dịch vụ internet
(ISP) theo dõi các hoạt động trực tuyến của bạn.
2.2.4 Cách thức hoạt động của VPN

Khi bạn kết nối với VPN, thiết bị của bạn sẽ tạo một đường hầm giữa
thiết bị của bạn và máy chủ VPN. Tất cả lưu lượng truy cập internet của bạn
sau đó được định tuyến thông qua đường hầm này và được mã hóa để bất kỳ ai
khác không thể chặn hoặc đọc được. Nói cách khác, VPN tạo một mạng ảo
riêng tư và an toàn trên mạng công cộng, chẳng hạn như internet. Điều này
cho phép bạn truy cập internet từ một vị trí khác vì thiết bị của bạn sẽ có vẻ
như được kết nối với internet từ vị trí của máy chủ VPN.Công nghệ VPN được
sử dụng để bảo vệ quyền riêng tư và bảo mật trực tuyến của bạn, đặc biệt khi
bạn đang sử dụng mạng Wi-Fi công cộng, mạng có thể dễ dàng bị tin tặc chặn.
12
Nó cũng cho phép bạn bỏ qua kiểm duyệt internet và giới hạn địa lý, bằng
cách làm cho nó có vẻ như bạn đang truy cập internet từ một địa điểm khác.
Hình 2.2 Cách thức hoạt động
2.3 Tổng kết chương 2
VPN là một trong những dịch vụ mạng khá phổ biến hiện nay, trong chương 2
cũng đã nêu rõ về các ứng dụng và tầm quan trọng của VPN đối với doanh nghiệp.
Nhưng cấu hình VPN trên hệ điều hành nào sẽ tốt hơn, điều này trong chương 1
cũng đã giải thích khá chi tiết bởi vì hệ điều hành Linux là một trong những hệ điều
hành khá phổ biến hiện nay, nó không những có nhiều tính năng vượt trội hơn
Windows mà còn khá an tâm về tính bảo mật. vì vậy việc cấu hình VPN trên hệ
điều hành Linux là một điều đúng đắn cho doanh nghiệp.
Thông qua chương 2 ta biết được những khái niệm, cách hoạt động và các cơ
sở lý thuyết của VPN cũng như về hệ điều hành Linux, những cơ sở lý thuyết đó là
tiền đề để ta có thể cấu hình một hệ thống VPN trên hệ điều hành Linux một cách
hoàn chỉnh và trong chương 3 nhóm sẽ trình bày về nội dung xây dựng VPN Client
– to - site trên hệ điều hành linux.
13
CHƯƠNG 3 XÂY DỰNG VPN CLIENT - TO - SITE
Công nghệ ngày càng phát triển vì thế nhiều công ty, doanh nghiệp hay
trường học đều đang dần chuyển sang làm việc từ xa, nên việc sử dụng VPN trở nên
phổ biến và cần thiết hơn bao giờ hết. Điều này cho thấy tầm quan trọng của VPN
trong môi trường doanh nghiệp.
3.1 Tổng quan VPN client - to - site (Remote Access VPN)

VPN client to site là loại VPN giúp cho 1 người dùng có thể kết nối đến 1
mạng riêng ở xa thông qua 1 VPN server. Thông thường, để có thể sử dụng VPN
client to site, máy tính của người dùng sẽ phải cài đặt 1 phần mềm VPN client để có
thể kết nối được đến VPN server. 1 ví dụ điển hình và thông dụng nhất đó là
OpenVPN.
Người dùng khởi động VPN client trên máy tính cá nhân, sử dụng
username/password để xác thực với VPN server, và sau đó sẽ khởi tạo 1 đường
truyền VPN được mã hóa từ máy tính cá nhân của người dùng đến mạng riêng ở xa.
Sau đó dữ liệu từ máy tính của người dùng đến mạng ở xa sẽ được truyền trên
đường truyền riêng an toàn và bảo mật.
14
Hình 3.1 VPN client to site
3.2 Một số thành phần chính

 Remote Access Server (RAS): được đặt tại trung tâm có nhiệm vụ xác nhận
và chứng nhận các yêu cầu gửi tới.
 Quay số kết nối đến trung tâm, điều này sẽ làm giảm chi phí cho một số yêu
cầu ở khá xa so với trung tâm.
 Hỗ trợ cho những người có nhiệm vụ cấu hình, bảo trì và quản lý RAS và
hỗ trợ truy cập từ xa bởi người dùng.
 Bằng việc triển khai Remote Access VPN, những người dùng từ xa hoặc
các chi nhánh văn phòng chỉ cần cài đặt một kết nối cục bộ đến nhà cung
cấp dịch vụ ISP hoặc ISP’s POP và kết nối đến tài nguyên thông qua
Internet. Thông tin Remote Access Setup được mô tả bởi hình vẽ sau:
Hình 3.2 Thiết lập một VPN remote access
3.3 Ứng dụng

VPN client – to - site thường được sử dụng cho các mục đích:
15
 Giúp người dùng truy cập vào các mạng riêng ở xa, ví dụ như truy cập vào
các máy chủ chỉ có mạng LAN trong Datacenter
 Truy cập Internet an toàn và bảo mật hơn thông qua việc kết nối qua VPN.
 Giấu địa chỉ IP Public thật của máy tính cá nhân trên Internet.
 Một trong những ứng dụng cung cấp VPN client – to - site phổ biến nhất
hiện nay đó là OpenVPN.
3.4 Ưu điểm và nhược điểm của hệ thống

3.4.1 Ưu điểm
 Với VPN client-to-site, nhân viên có thể truy cập mạng riêng của
công ty từ bất kỳ vị trí nào một cách an toàn
 Truy cập các tài nguyên quan trọng của công ty như tệp, cơ sở dữ
liệu và các ứng dụng khác từ các địa điểm ở xa, giúp làm việc dễ
dàng hơn.
 VPN client-to-site giúp doanh nghiệp tuân thủ các quy định như
HIPAA, PCI và GDPR. Bằng cách sử dụng VPN, doanh nghiệp
có thể đảm bảo rằng dữ liệu nhạy cảm được bảo vệ trong quá trình
truyền
 Giúp doanh nghiệp cải thiện bảo mật mạng bằng cách mã hóa tất
cả các lần truyền dữ liệu giữa thiết bị của người dùng và mạng
riêng của công ty
 VPN client-to-site cho phép bộ phận CNTT giám sát từ xa hoạt
động của nhân viên trên mạng của công ty
3.4.2 Nhược điểm

 VPN client-to-site có thể tiêu tốn một lượng băng thông đáng kể, điều
này có thể làm chậm hiệu suất mạng
 Tăng cường quản lý CNTT: VPN client-to-site yêu cầu quản lý và bảo
trì CNTT bổ sung, bao gồm xác thực người dùng, kiểm soát truy cập
và khắc phục sự cố
16
 Khả năng mất dữ liệu là rất cao, thêm nữa là các phân đoạn của gói
dữ liệu có thể đi ra ngoài và bị thất thoát.
 Do phải truyền dữ liệu thông qua Internet, nên khi trao đổi các dữ liệu
lớn như các gói dữ liệu truyền thông, phim ảnh, âm thanh sẽ rất chậm.
3.5 Giao thức OpenVPN

3.5.1 Tổng quan
OpenVPN là một hệ thống mạng riêng ảo (VPN) triển khai các kỹ thuật
để tạo các kết nối điểm-điểm hoặc điểm-điểm an toàn trong các cấu hình
được định tuyến hoặc bắc cầu và các phương tiện truy cập từ xa. Nó thực
hiện cả ứng dụng máy khách và máy chủ.
OpenVPN cho phép các đồng nghiệp xác thực lẫn nhau bằng các khóa bí
mật được chia sẻ trước, chứng chỉ hoặc tên người dùng / mật khẩu. Khi được
sử dụng trong cấu hình máy chủ nhiều máy khách, nó cho phép máy chủ phát
hành chứng chỉ xác thực cho mọi máy khách, sử dụng chữ ký và cơ quan cấp
chứng chỉ.
Nó sử dụng rộng rãi thư viện mã hóa OpenSSL, cũng như giao thức TLS
và chứa nhiều tính năng kiểm soát và bảo mật. Nó sử dụng giao thức bảo mật
tùy chỉnh sử dụng SSL/TLS để trao đổi khóa. Nó có khả năng vượt qua các
trình dịch địa chỉ mạng (NAT) và tường lửa.
OpenVPN đã được chuyển và nhúng vào một số hệ thống. Ví dụ: DD-
WRT có chức năng máy chủ OpenVPN. SoftEther VPN, một máy chủ VPN
đa giao thức, cũng có triển khai giao thức OpenVPN.
17
3.5.2 Cách thức hoạt động
Hình 3.3 Cách thức hoạt động
OpenVPN hoạt động trên kiến trúc máy khách - máy chủ. Về cơ bản,
phần mềm cần thiết để thiết lập máy chủ OpenVPN được cài đặt trên máy cần
truy cập từ xa (máy chủ) và máy khách OpenVPN được cài đặt trên tất cả các
máy cần truy cập máy chủ này (người làm việc từ xa).
Có hai giao thức chính để thiết lập và quản lý các kết nối VPN với giao
thức an toàn:
 PPTP: Giao thức đường hầm điểm tới điểm. Đây là giao thức dễ nhất
và phổ biến nhất cho VPN. Tất cả các hệ điều hành hiện đại đều có
ứng dụng khách PPTP được tích hợp sẵn, nhưng hỗ trợ máy chủ vẫn
cần được thiết lập riêng.
 L2TP: Giao thức đường hầm lớp 2. L2TP tương tự như PPTP vì nó
cũng sử dụng kênh điều khiển qua UDP và đường hầm GRE hoạt
động như một kênh dữ liệu. L2TP không tự cung cấp bất kỳ mã hóa
hoặc bảo mật nào, nó dựa vào giao thức lớp trên (ví dụ: IPSec) để bảo
mật dữ liệu được truyền qua đường hầm L2TP
18
OpenVPN là một SSL / TLS VPN. Các kết nối máy khách / máy chủ
đường hầm OpenVPN qua cổng TCP 443. Khi được kết hợp với HTTPS ('S' là
viết tắt của 'Secure'), OpenVPN trở thành một công cụ mạnh mẽ, linh hoạt để
vượt qua các hạn chế về nội dung và tường lửa trong khi vẫn duy trì các tính
năng mã hóa và xác thực mạnh mẽ vốn có khiến nó trở nên phổ biến đối với cả
người dùng doanh nghiệp và người dùng gia đình.
OpenVPN không chỉ là một phần mềm VPN thay thế cho Cisco VPN
hoặc Fortinet VPN, mà nó còn cung cấp các giao thức SSL / TLS VPN rất linh
hoạt có thể được sử dụng để vượt qua hầu hết mọi hạn chế về tường lửa hoặc
nội dung.
3.6 Lab cấu hình VPN client-to-site

3.6.1 Cấu hình VPN client-to-site
Hình 3.4 Mô hình VPN client – to - site

Để cấu hình VPN client-to-site, đầu tiên cập nhật lại hệ thống bằng lệnh.
yum -y update
19
Tiếp theo để cài đặt OpenVPN chúng ta cần cài Package Net-tools trước,
Package này sẽ chứa ifcfg cần thiết để tạo OpenVPN server.
sudo yum install net-tools (cài đặt Net-tools trên CentOS)
Tải OpenVPN client từ trang chủ OpenVPN và dùng curl command để

triển khai.
curl-Ohttp://swupdate.openvpn.org/as/openvpn-as-2.7.3
CentOS7.x86_64.rpm
Tiếp theo, cài đặt VPN server trên CentOS sử dụng lệnh:
sudo rpm --install openvpn-as-*.rpm
20
Sau khi hoàn tất ta thấy được thông tin Admin UI và Client UI. Mặc định
OpenVPN user sẽ được tạo sẵn trong quá trình cài. Và sau đó có thể đặt mật
khẩu cho người dùng này bằng lệnh passwd:
passwd openvpn
Và đặt mật khẩu mới cho user OpenVPN. Sau đó sử dụng admin URL để đăng
nhập và hoàn tất quá trình cài đặt. Đường dẫn trang admin URL là:
https://192.168.44.137:943/admin.
Đối với địa chỉ URL ta chỉ cần nhập VPS IP Address của bạn, port :943
port với /admin.
Giao diện sẽ xuất hiện như sau:
21
Hình 3.5 Giao diện đăng nhập admin
Username như ở trên là OpenVPN và mật khẩu là mật khẩu mà ta đã đặt
ở trên. Sau khi đăng nhập ta sẽ thấy trang điều khoản và điều kiện và nhấn nút
Agree để tiếp tục. Ở trang tiếp theo sẽ cung cấp thông tin cấu hình và tình
trạng server.
Tới đây ta có thể hình dung bất kỳ hệ điều hành nào để kết nối tới máy
chủ VPN ví dụ: các hệ điều hành MacOS, Linux, Windows, Android, và iOS.
Trong trường hợp thay đổi thiết lập, ta nhấn nút Apply và Update Running
Server để kích hoạt thay đổi.
Xong phần cài đặt, tiếp theo ta sẽ tạo đường hầm OpenVPN.
3.6.2 Đăng nhập

Để đăng nhập, đầu tiên ta mở OpenVPN client URL trên trình duyệt dưới
dạng https://dia-chi-ip-server:943, sau đó ta sẽ thấy link tải về cho từng hệ
điều hành và chọn phiên bản Windows và nhấn cài đặt.
Sau khi cài đặt thành công, ta sẽ được nhập OpenVPN username và
password. Server IP sẽ được tự động điền.
Ngoài ra, có thể dùng OpenVPN từ cửa sổ Windows taskbar để ngắt kết
nối, kết nối lại và xem tình trạng kết nối.
22
Hình 3.6 Kết nối VPN client to site thành công
Hình 3.7 Giao diện quản trị client to site

OpenVPN là một ứng dụng phần mềm mã nguồn mở cho phép các kết nối
điểm - điểm an toàn trong các cấu hình được định tuyến hoặc bắc cầu và các
phương tiện truy cập từ xa. Nó sử dụng giao thức bảo mật tùy chỉnh dựa trên SSL /
TLS để thiết lập kết nối được mã hóa trên Internet.
Thông qua bài lab, nhóm đã cấu hình thành công hệ thống VPN client – to –
site từ đó người dùng có thể kết nối từ xa vào mạng của công ty mà không cần phải
đến nơi làm việc thông qua VPN. Tuy nhiên điều này chỉ có thể kết nối vào mạng
một LAN của công ty tại một chi nhánh vì vậy để kết nối nhiều mạng LAN hơn ta
sang chương 4 cấu hình VPN site – to - site
23
CHƯƠNG 4 XÂY DỰNG VPN SITE - TO – SITE TRÊN LINUX
Mạng riêng ảo site - to - site (VPN) là kết nối giữa hai hoặc nhiều mạng,
chẳng hạn như mạng công ty và mạng văn phòng chi nhánh. Nhiều tổ chức sử dụng
VPN site-to-site để tận dụng kết nối Internet cho lưu lượng truy cập riêng tư như
một giải pháp thay thế cho việc sử dụng các mạch MPLS riêng.
4.1 Tổng quan về VPN site-to-site

Ngày nay với công nghệ VPN, các doanh nghiệp đã có thể kết nối giữa các chi
nhánh với nhau một cách an toàn mà không cần phải thuê Lease Line, tuy nhiên
việc cấu hình VPN trên các Router vẫn còn tương đối phức tạp đòi hỏi người quản
trị phải có 1 trình độ nhất định và được đào tạo chuyên nghiệp. Nhưng theo công
nghệ phát triển của Việt Nam hiện nay hầu hết các công ty, doanh nghiệp đã quen
với việc cấu hình và sử dụng VPN trên hệ thống máy Windows và các router mà chi
phí đầu tư cho các thiết bị và phần mềm trên Windows lại không rẻ chút nào, vì vậy
việc áp dụng các công nghệ mới chi phí thấp luôn là chủ đề được ủng hộ và đầu tư
phát triển trên toàn thế giới. Nắm bắt nhu cầu này nên hệ điều hành Linux đã ra đời
đáp ứng nhu cầu trên và có thể sử dụng hệ điều hành mã nguồn mở này cùng với
các phần mềm tiện ích mã nguồn mở để cấu hình VPN với tính bảo mật đáng tin
cậy, mà chi phí đầu tư lại thấp hơn rất nhiều do hầu hết các phần mềm hoàn toàn
miễn phí. Tuy nhiên xây dựng VPN trên hệ điều hành Linux vẫn còn khá mới lạ đối
với các doanh nghiệp do việc sử dụng hệ điều hành Linux còn khá khó khăn với các
dòng lệnh phức tạp của nó chính vì vậy mà VPN trên Linux vẫn chưa phát triển lớn
mạnh tại Việt Nam.
4.1.1 Khái niệm về VPN site-to-site

VPN site to site là một dạng VPN kết nối 2 hay nhiều mạng riêng với
nhau thông qua đường truyền an toàn và bảo mật. VPN site to site giúp mở
rộng mạng của doanh nghiệp, giúp cho các chi nhánh ở các nơi khác nhau có
thể truy cập đến các ứng dụng hay tài nguyên dùng chung đặt tại head office
thông qua 1 đường truyền an toàn và bảo mật dựa trên Internet. Các bạn có thể
24
tưởng tượng đơn giản, bạn có 1 mạng riêng ở Hà Nội, 1 mạng riêng ở Hồ Chí
Minh, và 2 mạng riêng này cần kết nối với nhau để trao đổi dữ liệu, lúc đó bạn
sẽ cần đến VPN site to site.
4.1.2 Lợi ích của VPN site-to-site

Kết nối an toàn: Tất cả lưu lượng truy cập qua VPN site-to-site đều được
mã hóa. Điều này có nghĩa là mọi dữ liệu kinh doanh qua Internet công cộng
đều được mã hóa, bảo vệ dữ liệu đó khỏi bị nghe trộm và sửa đổi.
Chia sẻ tài nguyên: VPN site-to-site cũng cho phép các vị trí khác nhau
trong doanh nghiệp chia sẻ tài nguyên, chẳng hạn như tệp, cơ sở dữ liệu và
ứng dụng
Truy cập từ xa: VPN site-to-site cũng có thể được sử dụng để cung cấp
quyền truy cập từ xa vào tài nguyên doanh nghiệp, chẳng hạn như ứng dụng và
dữ liệu, cho những nhân viên đang làm việc bên ngoài văn phòng. Điều này
đặc biệt quan trọng trong thế giới ngày nay, nơi công việc từ xa đã trở nên phổ
biến hơn.
VPN site-to-site cũng có thể giúp doanh nghiệp tuân thủ các yêu cầu quy
định, chẳng hạn như các quy định về quyền riêng tư và bảo mật dữ liệu, bằng
cách cung cấp một kênh liên lạc an toàn và được mã hóa giữa các trang web
khác nhau.
4.1.3 Hạn chế của VPN site-to-site

Khả năng mở rộng hạn chế: VPN cung cấp kết nối điểm – điểm, nghĩa là
cần có một kết nối duy nhất cho mỗi cập trang web được kết nối. Do đó, số
lượng VPN cần thiết cho một mạng được kết nối đầy đủ sẽ tăng theo cấp số
nhân cùng với số lượng trang web.
Định tuyến không hiệu quả: Khả năng mở rộng hạn chế và thiếu tính bảo
mật tích hợp của VPN khiến một số tổ chức triển khai kiến trúc mạng “trung
tâm và giao tiếp”, trong đó tất cả các kết nối đều đi qua trang web trụ sở để
25
kiểm tra bảo mật. Mặc dù điều này làm giảm số lượng đường hầm VPN cần
thiết trong một tổ chức, nhưng nó có thể tạo ra độ trễ mạng đáng kể và tải bổ
sung trên mạng trụ sở.
Khả năng hiển thị bị phân mảnh: Mỗi kết nối VPN site-to-site là độc lập
với tất cả các kết nối khác. Điều này có nghĩa là một tổ chức có thể khó duy trì
khả năng hiển thị đầy đủ, tích hợp vào lưu lượng mạng của mình. Do đó, các
cuộc tấn công phân tán trên mạng WAN của công ty có thể khó phát hiện và
phản ứng hiệu quả hơn.
Cấu hình và quản lý phức tạp: Tính độc lập của mỗi đường hầm VPN
site-to-site làm cho một mạng WAN công ty dựa trên VPN có cấu hình và
quản lý phức tạp. Mỗi đường hầm VPN phải được thiết lập, giám sát và quản
lý riêng.
Thiếu bảo mật tích hợp: VPN site-to-site chỉ được thiết kế để cung cấp
kết nối được mã hóa giữa hai điểm. VPN không thực hiện kiểm tra bảo mật
nội dung hoặc kiểm soát truy cập, cung cấp cho người dùng VPN quyền truy
cập không hạn chế vào mạng mục tiêu.
4.1.4 Ứng dụng của VPN site-to-site

VPN thường được dùng để kết nối các máy tính của một công ty hay tập
đoàn với nhau. Một VPN hiệu quả sẽ có các đặc điểm sau:
 Bảo mật (Security).

 Tin cậy (Reliability).
 Khả năng mở rộng (Scalability).
 Khả năng quản trị hệ thống mạng (Network Management).
 Khả năng quản trị các chính sách (Policy Management).
Với việc sử dụng VPN, doanh nghiệp có thể giảm bớt các chi phí đầu tư
cho cơ sở hạ tầng truyền thông và các chi phí hàng tháng:
26
 Chi phí thuê bao Leased Line, Frame Relay, ATM đường dài.
 Chi phí cước viễn thông đường dài dành cho các kết nối truy cập từ
xa.
 Trao đổi, chia sẻ dữ liệu an toàn, riêng tư, bảo mật giữa các văn
phòng, chi nhánh công ty, tổ chức.
 Phân quyền truy cập nhằm kiểm soát tính riêng tư trong quá trình
truyền dữ liệu giữa các bộ phận nhất định.
 Truy cập dữ liệu từ xa, giám sát văn phòng từ xa dễ dàng, hiệu quả.
 Tiết kiệm chi phí đầu tư vào giải pháp đường truyền cũng như Remote
Access VPN truyền thống.
 Đơn giản cho việc quản lý Firewall và quản trị hệ thống cho System
Administrator, …
Ngoài ra triển khai VPN còn giúp doanh nghiệp tiết kiệm được chi phí
cho việc vận hành và bảo trì hệ thống, giảm chi phí cho đội ngũ nhân
viên.
Phổ biến hiện nay là VPN trên Linux:
 Site - to - site: Kết nối các mạng Lan riêng lẻ lại với nhau.
 Client - to - site: Kết nối một cá nhân vào mạng Lan.
 Mạng cách ly phi chuẩn: Tạo ra một môi trường cách ly hoàn toàn về
mặt giao thức TCP/IP giữa mạng nội bộ với hệ thống Internet bên ngoài,
nhưng dữ liệu truyền giữa các mạng nội bộ qua Internet ra bên ngoài vẫn bình
thường.
27
4.2 Mô hình VPN site-to-site
Hình 4.1 Mô hình VPN site - to - site
4.3 Sơ lược về Strongswan
Strongswan là một giải pháp VPN dựa trên IP nguồn mở. Nó hỗ trợ cả giao
thức trao đổi khóa IKEv1 và IKEv2 kết hợp với ngăn xếp NETKEY IPSec của hạt
nhân Linux.
Trọng tâm của Strongswan là:
 Đơn giản của cấu hình.

 Phương thức mã hóa và xác thực mạnh.
 Chính sách IPSec mạnh mẽ hỗ trợ các mạng VPN lớn và phức tạp.
 Thiết kế mô-đun với khả năng mở rộng tuyệt vời.
4.4 Lab cấu hình VPN site-to-site

4.4.1 Chuẩn bị
Máy CentOS 7
Cấu hình IP 2 máy như sau:

28
Hình 4.2 IP máy Linux server site 1
 Trong đó:
Cổng ens33 có địa chỉ ip public 192.168.1.17 là cổng kết nối với
Internet
Cổng ens36 có địa chỉ ip 172.16.0.1 là cổng LAN với dãy mạng
172.16.0.0/24
Hình 4.3 IP máy Linux server site 2
 Trong đó:
Cổng ens33 có địa chỉ ip public 192.168.1.24 là cổng có thể kết nối
với Internet
29
Cổng ens36 có địa chỉ ip 192.168.10.1 là cổng LAN với dãy mạng
192.168.10.0/24
Máy client windows 7
Cấu hình 2 máy như sau:
Hình 4.4 IP máy client site 1
Hình 4.5 IP máy client site 2
30
Cài đặt Strongswan
 Cài đặt và tắt tường lửa tạm thời cho hai máy server như sau:
#yum -y install epel-release
#yum -y install strongswan
#systemctl enable strongswan
#systemctl stop firewalld
#systemctl disable firewalld
 Thay đổi các biến hệ thống này để cho phép chuyển tiếp IP và ngăn
chuyển hướng ICMP bằng cách.
#echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf (bật chuyển tiếp
ipv4)
#echo "net.ipv4.conf.all.accept_redirects=0" >> /etc/sysctl.conf (lệnh
này vô hiệu hóa việc chấp nhận tất cả các gói được chuyển hướng
ICMP trên tất cả các giao diện)
#echo "net.ipv4.conf.all.send_redirects=0" >> /etc/sysctl.conf (Lệnh
này vô hiệu hóa việc chấp nhận các gói chuyển hướng ICMP an toàn
trên tất cả các giao diện)
#sysctl -p /etc/sysctl.conf (dùng để kiểm tra các biến đã thay đổi hay
chưa)
Hình 4.6 Kiểm tra các biến.

4.4.2 Cấu hình VPN Strongswan
Cấu hình VPN Strongswan site 1
Đầu tiên, mở file cấu hình bằng lệnh:
#nano /etc/strongswan/ipsec.conf
31
File được cấu hình như các dòng bên dưới:
Hình 4.7 File cấu hình /strongswan/ipsec.conf site 1
Trong đó
left=192.168.1.17 (địa chỉ ip public của server site 1)
leftsubnet=172.16.0.0/24 (dãy ip private của server site 1)
leftid=192.168.1.17 (địa chỉ ip public của server site 1)
và
right=192.168.1.24 (địa chỉ ip public của server site 2)
rightsubnet=192.168.10.0/24 (dãy ip private của server site 2)
rightid=192.168.1.24 (địa chỉ ip public của server site 2)
Tiếp theo cấu hình file #nano /etc/strongswan/ipsec.secrets với mã PSK:

32
Hình 4.8 Cấu hình file /etc/strongswan/ipsec.secrets site 1 với mã PSK
Trong đó: 192.168.1.17 là địa chỉ ip public của server site 1 và
192.168.1.24 là địa chỉ ip public của server site 2
Lưu ý: Ta phải cấu hình Firewall trước khi khởi động
 Để cấu hình firewall ta thực hiện theo các lệnh sau:

#systemctl enable firewalld
#systemctl start firewalld
#firewall-cmd --set-default-zone=dmz
#firewall-cmd --zone=dmz --permanent --add-rich-rule='rule
protocol value="esp" accept'
protocol value="ah" accept'
#firewall-cmd --zone=dmz --permanent --add-port=500/udp (mở port
500/udp)
#firewall-cmd --zone=dmz --permanent --add-port=4500/udp (mở
port 4500/udp)
#firewall-cmd --permanent --add-service="ipsec"
#firewall-cmd --zone=dmz --permanent --add-masquerade
#firewall-cmd --permanent --direct --add-rule ipv4 nat
POSTROUTING 0 -m policy --pol ipsec --dir out -j ACCEPT
#firewall-cmd --reload
Lưu các file cấu hình và khởi động VPN:
#systemctl restart strongswan
#systemctl start strongswan
Cấu hình VPN Strongswan site 2

33
Tương tự site 1, File được cấu hình như các dòng bên dưới:
#nano /etc/strongswan/ipsec.conf
Hình 4.9 File cấu hình /strongswan/ipsec.conf site 2

Trong đó: cấu hình địa chỉ ip ngược lại file cấu hình của site 1
left=192.168.1.24 (địa chỉ ip public Của server site 2)
leftsubnet=192.168.10.0/24 (dãy ip private Của server site 2)
leftid=192.168.1.24 (địa chỉ ip public Của server site 2)
right=192.168.1.17 (địa chỉ ip public Của server site 1)
rightsubnet=172.16.0.0/24 (dãy ip private Của server site 1)
rightid=192.168.1.17 (địa chỉ ip public Của server site 1)
Tiếp theo cấu hình file #nano /etc/strongswan/ipsec.secrets với mã PSK:
34
Hình 4.10 Cấu hình file /etc/strongswan/ipsec.secrets site 2 với mã PSK
Trong đó:
Tương tự site 1 ta phải cấu hình Firewall trước khi khởi động.
 Cấu hình như sau:

#systemctl enable firewalld
#systemctl start firewalld
#firewall-cmd --set-default-zone=dmz
protocol value="esp" accept'
protocol value="ah" accept'
#firewall-cmd --zone=dmz --permanent --add-port=500/udp (mở port
500/udp)
#firewall-cmd --zone=dmz --permanent --add-port=4500/udp (mở
port 4500/udp)
#firewall-cmd --permanent --add-service="ipsec"
#firewall-cmd --zone=dmz --permanent --add-masquerade
#firewall-cmd --permanent --direct --add-rule ipv4 nat
POSTROUTING 0 -m policy --pol ipsec --dir out -j ACCEPT
#firewall-cmd --reload
Lưu các file cấu hình và khởi động VPN:
#systemctl restart strongswan
#systemctl start strongswan
35
4.4.3 Kiểm tra kết nối site – to - site giữa 2 server
Server site 1
Đầu tiên kiểm tra bằng lệnh:
#tail -f /var/log/messages
Hình 4.11 Kiểm tra Strongswan site 1

Sau đó kiểm tra trạng thái của Strongswan (như bên dưới là thành công)
Kiểm tra bằng lệnh:
#strongswan status
Hình 4.12 Kiểm tra trạng thái của Strongswan

Điều quan trọng trước khi kiểm tra kết nối giữa 2 site ta phải định tuyến
các địa chỉ trong 2 site vào route.
Để định tuyến ta thực hiện:
#sudo route add -net 172.16.0.0/24 gw 172.16.0.1
36
Trong đó 192.168.1.24 là địa chỉ ip của site 2
Sau đó kiểm tra kết nối bằng cách ping tất cả địa chỉ ip của site 2
Hình 4.13 Kết nối site 2 thành công
#ping 192.168.10.1 (mạng Lan của server site 2)
#ping 192.168.10.6 (mạng Lan của client site 2)
#ping 192.168.1.24 (mạng public của server site 2)
Server site 2
Tương tự, kiểm tra bằng lệnh: #tail -f /var/log/messages
37
Hình 4.14 Kiểm tra Strongswan site 2
Kiểm tra trạng thái của Strongswan (như bên dưới là thành công)
Kiểm tra bằng lệnh: #strongswan status
Hình 4.15 Kiểm tra trạng thái của Strongswan

Tiếp theo định tuyến tương tự site 1 ta thực hiện:
Sau đó kiểm tra kết nối bằng cách ping tất cả địa chỉ ip của site 1
#ping 172.16.0.1 (mạng Lan của server site 1)
#ping 172.16.0.6 (là ip của client site 1)
#ping 192.168.1.17 (mạng public của server site 1)
38
Hình 4.16 Kết nối site 1 thành công
Như vậy là kết nối site-to-site giữa 2 server đã thành công
Client site 1
Đầu tiên, định tuyến cho route: (chạy command (cmd) với quyền admin
(Run as administrator)
#route add 172.16.0.0 mask 255.255.255.0 172.16.0.6 metric 1 –p
Để kiểm tra ta dùng lệnh: #route print
Hình 4.17 Kiểm tra route của client 1

Tiếp theo ta kiểm tra kết nối giữa client 1 và site 2 bằng cách ping tất cả
địa chỉ ip trong site 2
39
Hình 4.18 Kết nối với client site 2 thành công
Hình 4.19 Kết nối với server site 2 thành công
Client site 2
Đầu tiên, định tuyến cho route: (chạy command (cmd) với quyền admin
(Run as Administrator)
 Định tuyến như sau:

#route add 192.168.10.0 mask 255.255.255.0 192.168.10.6 metric 1 –
p
#route add 192.168.1.0 mask 255.255.255.0 192.168.10.1 metric –p
kiểm tra bằng lệnh: #route print
Hình 4.20 Kiểm tra route của client 2

Tiếp theo ta kiểm tra kết nối giữa client 2 và site 1 bằng cách ping tất cả
địa chỉ ip trong site 1.
40
Hình 4.21 Kết nối với client site 1 thành công
Hình 4.22 Kết nối với server site 1 thành công
41
Trong chương 4, ta thấy rằng hệ thống VPN site – to – site có thể kết nối với
nhiều mạng LAN với nhau, điều này tạo nên sự dễ dàng khi giao tiếp giữa 2 máy
client giữa hai chi nhánh khác nhau.
Trong bài lab nhóm đã sử dụng Strongswan để cấu hình hệ thống VPN site –
to – site, Strongswan với phương thức mã hóa và xác thực mạnh cùng với chính
sách IPSec mạnh mẽ hỗ trợ các mạng VPN lớn và phức tạp sẽ giúp hệ thống tăng
cường bảo mật và an toàn hơn khi trao đổi dữ liệu, không những thế sự tiện lợi đến
từ sự đơn giản của cấu hình.
Trong doanh nghiệp hệ thống VPN site – to – site được nhiều công ty hay các
doanh nghiệp có nhiều chi nhánh sử dụng vì nó mang lại nhiều lợi ích trong quá
trình làm việc như truy cập thông tin của các chi nhánh một cách dễ mà không phải
tốn chi phí đi lại. Nhưng bên cạnh sự tiện lợi đó điều quan trọng của một hệ thống
VPN là tính bảo mật, điều này sẽ được nhóm trình bày rõ ở chương 5.
42
CHƯƠNG 5: VPN VỚI IPSEC TRÊN MÔI TRƯỜNG LINUX
IPSec, viết tắt của Internet Protocol Security, là một bộ giao thức mật mã bảo
vệ lưu lượng dữ liệu qua mạng Internet Protocol (IP). Mạng IP – bao gồm cả World
Wide Web – thiếu khả năng mã hoá và bảo vệ quyền riêng tư. VPN IPSec giải
quyết điểm yếu này, bằng cách cung cấp một framework cho việc giao tiếp được mã
hóa và riêng tư trên web. Bài viết này sẽ có cái nhìn sâu hơn về bộ giao thức này,
giải thích IPSec là gì và cách hoạt động của bộ giao thức này như thế nào.
5.1 Tổng quan IPSec

5.1.1 Khái niệm về IPSec
IPSec là một nhóm giao thức được sử dụng cùng nhau để thiết lập các
kết nối được mã hóa giữa các thiết bị. Nó giúp bảo mật dữ liệu được gửi qua
public network. Nhóm giao thức này này thường được sử dụng để thiết lập
VPN. Nó hoạt động bằng cách mã hóa IP packet cùng với việc xác thực nguồn
của các packet.
Trong thuật ngữ “IPSec”, “IP” là viết tắt của “Internet Protocol” và
“Sec” là “Security”. Internet Protocol là một routing protocol chính được sử
dụng trên Internet. Nó chỉ định nơi dữ liệu sẽ đi bằng địa chỉ IP. Nhóm giao
thức này an toàn vì nó thêm mã hóa và xác thực vào quá trình này.
5.1.2 IPSec trên VPN

Virtual Private Network (VPN) là một kết nối được mã hóa giữa hai hoặc
nhiều máy tính. Kết nối VPN diễn ra qua các public network, nhưng dữ liệu
trao đổi qua VPN vẫn là riêng tư vì nó được mã hóa.
VPN giúp bạn có thể truy cập và trao đổi dữ liệu bí mật một cách an toàn
qua cơ sở hạ tầng shared network. Ví dụ, khi nhân viên làm việc từ xa thay vì
ở văn phòng, họ thường sử dụng VPN để truy cập các file và app của công ty.
43
Nhiều VPN sử dụng IPSec protocol để thiết lập và chạy các kết nối được
mã hóa. Tuy nhiên, không phải tất cả các VPN đều sử dụng nhóm giao thức
này. Một giao thức khác cho VPN là SSL/TLS, hoạt động ở một lớp khác
trong mô hình OSI so với IPSec. Mô hình OSI là một đại diện trừu tượng của
các quá trình là cho Internet hoạt động.
5.2 Cách thức hoạt động của IPSec

Kết nối bộ giao thức này bao gồm các bước sau:
Trao đổi key: Key là yếu tố cần thiết để mã hóa, key là một chuỗi ký tự ngẫu
nhiên có thể được sử dụng để “lock” (mã hóa) và “unlock” (giải mã) thông điệp.
Nhóm giao thức này thiết lập các key với sự trao đổi key giữa các thiết bị được kết
nối. Để mỗi thiết bị có thể giải mã tin nhắn của các thiết bị khác.
Header và trailer của packet: Tất cả dữ liệu được gửi qua mạng được chia
thành các phần nhỏ hơn gọi là packet. Các packet chứa cả payload hoặc dữ liệu thực
tế được gửi bao gồm cả các header hoặc thông tin về dữ liệu đó để các máy tính
nhận packet biết phải làm gì với chúng. IPSec thêm một số header vào các packet
dữ liệu chứa thông tin xác thực và mã hóa. Nhóm giao thức này cũng thêm các đoạn
trailer đi sau payload của một packet thay vì trước đó.
Xác thực: IPSec cung cấp xác thực cho mỗi packet, giống như một con dấu
xác thực trên một vật phẩm sưu tầm được. Điều này đảm bảo rằng các packet đến từ
một nguồn đáng tin và không phải là Hacker.
Mã hóa: IPSec mã hóa payload bên mỗi packet và IP header của mỗi packet.
Điều này giữ cho dữ liệu được gửi qua nhóm giao thức này một cách an toàn và
riêng tư.
Truyền dữ liệu: Các IPSec packet được mã hóa truyền dữ liệu qua một hoặc
nhiều mạng đến đích của chúng bằng cách sử dụng một giao thức truyền tải. Ở giai
đoạn này, lưu lượng IPSec khác với lưu lượng IP thông thường ở chỗ nó thường sử
dụng UDP làm giao thức truyền tải hơn là TCP. TCP (Transmission Control
44
Protocol) thiết lập các kết nối chuyên dụng giữa các thiết bị và đảm bảo rằng tất cả
các packet đều được truyền đến đích. UDP (User Datagram Protocol) không thiết
lập các kết nối chuyên dụng này. Nhóm giao thức này sử dụng UDP vì nó cho phép
các IPSec packet vượt qua firewall.
Giải mã: Ở đầu kia của giao tiếp, các packet được giải mã và các app hiện có
thể sử dụng dữ liệu được phân phối.
5.3 Kiến trúc IPSec

IPSec là một giao thức phức tạp, dựa trên nền của nhiều kỹ thuật cơ sở khác
nhau như mật mã, xác thực, trao đổi khoá… Xét về mặt kiến trúc, IPSec được xây
dựng dựa trên các thành phần cơ bản sau đây, mỗi thành phần được định nghĩa
trong một tài liệu riêng tương ứng.
 Kiến trúc IPSec (RFC 2401): Quy định các cấu trúc, các khái niệm và yêu
cầu của IPSec.
 Giao thức ESP (RFC 2406): Mô tả giao thức ESP, là một giao thức mật mã
và xác thực thông tin trong IPSec.
 Giao thức AH (RFC 2402): Định nghĩa một giao thức khác với chức năng
gần giống ESP. Như vậy khi triển khai IPSec, người sử dụng có thể chọn
dùng ESP hoặc AH, mỗi giao thức có ưu và nhược điểm riêng.
 Thuật toán mật mã: Định nghĩa các thuật toán mã hoá và giải mã sử dụng
trong IPSec. IPSec chủ yếu dựa vào các thuật toán mã hoá đối xứng.
 Thuật toán xác thực: Định nghĩa các thuật toán xác thực thông tin sử dụng
trong AH và ESP.
 Quản lý khoá (RFC 2408): Mô tả các cơ chế quản lý và trao đổi khóa trong
IPSec.
 Miền thực thi (Domain of Interpretation – DOI): Định nghĩa môi trường
thực thi IPSec. IPSec không phải là một công nghệ riêng biệt mà là sự tổ
hợp của nhiều cơ chế, giao thức và kỹ thuật khác nhau, trong đó mỗi giao
thức, cơ chế đều có nhiều chế độ hoạt động khác nhau. Việc xác định một
45
tập các chế độ cần thiết để triển khai IPSec trong một tình huống cụ thể là
chức năng của miền thực thi. Xét về mặt ứng dụng, IPSec thực chất là một
giao thức hoạt động song song với IP nhằm cung cấp 2 chức năng cơ bản
mà IP nguyên thuỷ chưa có, đó là mã hoá và xác thực gói dữ liệu. Một cách
khái quát có thể xem IPSec là một tổ hợp gồm hai thành phần:
 Giao thức đóng gói, gồm AH và ESP: Bảo vệ truyền thông IP, dựa vào
SA (khóa, địa chỉ, các thuật toán mật mã).
 Giao thức trao đổi khóa IKE (Internet Key Exchange): Để thiết lập các
SA (Security Association) cho AH hoặc ESP, và duy trì/quản lý các kết
nối.
5.4 Các giao thức sử dụng trong IPSec

Trong mạng, protocol là một cách định dạng dữ liệu cụ thể để bất kỳ máy
tính kết nối mạng nào cũng có thể diễn giải dữ liệu. Nhóm giao thức này không phải
là một protocol, mà là một tập hợp các Protocol. Các protocol sau tạo nên bộ IPSec:
 Authentication Header (AH): Protocol AH đảm bảo rằng các data packet
đến từ một nguồn đáng tin cậy và dữ liệu không bị giả mạo, giống như một
con dấu chống giả mạo trên một sản phẩm tiêu dùng. Các header này không
cung cấp bất kỳ mã hóa nào, chúng không giúp che giấu dữ liệu khỏi
Hacker.
 Encapsulating Security Protocol (ESP): ESP mã hóa IP header cho mỗi
packet – trừ khi transport data mode được sử dụng. Trong trường hợp này,
nó chỉ mã hóa payload. ESP thêm header riêng và một đoạn trailer vào mỗi
data packet.
 Security Association (SA): SA đề cập đến một số Protocol được sử dụng để
đàm phán các key và thuật toán mã hóa. Một trong những Protocol SA phổ
biến nhất là Internet Key Exchange (IKE).
 Cuối cùng, mặc dù Internet Protocol (IP) không phải là một phần của IPSec,
nhưng nhóm giao thức này chạy trực tiếp trên IP.
46
5.4.1 Giao thức AH
AH cung cấp xác thực nguồn gốc dữ liệu (Data Origin Authentication),
kiểm tra tính toàn vẹn dữ liệu (Data Integrity), và dịch vụ chống phát lại (Anti-
replay Service). Đến đây, cần phải phân biệt được hai khái niệm toàn vẹn dữ
liệu và chống phát lại toàn vẹn dữ liệu là kiểm tra những thay đổi của từng gói
tin IP, không quan tâm đến vị trí các gói trong luồng lưu lượng, còn dịch vụ
chống phát lại là kiểm tra sự phát lặp lại một gói tin tới địa chỉ đích nhiều hơn
một lần. AH cho phép xác thực các trường của IP header cũng như dữ liệu của
các giao thức lớp trên, tuy nhiên do một số trường của IP header thay đổi trong
khi truyền và phía phát có thể không dự đoán trước được giá trị của chúng khi
tới phía thu, do đó giá trị của các trường này không bảo vệ được bằng AH. Có
thể nói AH chỉ bảo vệ một phần của IP header mà thôi. AH không cung cấp
bất cứ xử lý nào về bảo mật dữ liệu của các lớp trên, tất cả đều được truyền
dưới dạng văn bản rõ.
AH nhanh hơn ESP, nên có thể chọn AH trong trường hợp chắc chắn về
nguồn gốc và tính toàn vẹn của dữ liệu nhưng tính bảo mật dữ liệu không cần
được chắc chắn.
Giao thức AH cung cấp chức năng xác thực bằng cách thực hiện một
hàm băm một chiều (One-way Hash Function) đối với dữ liệu của gói để tạo ra
một đoạn mã xác thực (Hash hay Message Digest). Đoạn mã đó được chèn
vào thông tin của gói truyền đi. Khi đó, bất cứ thay đổi nào đối với nội dung
của gói trong quá trình truyền đi đều được phía thu phát hiện khi nó thực hiện
cùng với một hàm băm một chiều đối với gói dữ liệu thu được và đối chiếu nó
với giá trị hash đã truyền đi. Hàm băm được thực hiện trên toàn bộ gói dữ liệu,
trừ một số trường trong IP header có giá trị bị thay đổi trong quá trình truyền
mà phía thu không thể dự đoán trước được (ví dụ thời gian sống của gói tin bị
các router thay đổi trên đường truyền dẫn).
47
5.4.2 Giao thức Encapsulating Security Payload (ESP)
Cũng như AH, giao thức này được phát triển hoàn toàn cho IPSec. Giao
thức này cung cấp tính bí mật dữ liệu bằng việc mật mã hóa các gói tin. Thêm
vào đó, ESP cũng cung cấp nhận thực nguồn gốc dữ liệu, kiểm tra tính toàn
vẹn dữ liệu, dịch vụ chống phát lại và một số giới hạn về luồng lưu lượng cần
bảo mật. Tập các dịch vụ cung cấp bởi ESP phụ thuộc vào các lựa chọn tại
thời điểm thiết lập SA, dịch vụ bảo mật được cung cấp độc lập với các dịch vụ
khác. Tuy nhiên nếu không kết hợp sử dụng với các dịch vụ nhận thực vào
toàn vẹn dữ liệu thì hiệu quả bí mật sẽ không được đảm bảo. Hai dịch vụ nhận
thực và toàn vẹn dữ liệu luôn đi kèm nhau. Dịch vụ chống phát lại chỉ có thể
có nếu nhận thực được lựa chọn. Giao thức này được sử dụng khi yêu cầu về
bí mật của lưu lượng IPSec cần truyền.
5.4.3 Quản lý khóa với Internet Key Exchange (IKE)

Bộ IPSec đưa ra 3 khả năng chính đó là: tính xác nhận và tính toàn vẹn
dữ liệu (Data Authentication and Integrity) cùng sự cẩn mật được cung cấp bởi
hai giao thức chính trong bộ giao thức IPSec là AH và ESP. IPSec dùng một
giao thức thứ ba Internet Exchange Key (IKE) thực hiện tính năng thứ ba là
quản lý khóa để thỏa thuận các giao thức bảo mật và các thuật toán mã hóa
trước và trong suốt quá trình giao dịch.
IKE SA là quá trình hai chiều và cung cấp một kênh giao tiếp bảo mật
giữa hai bên. IKE SA được nhận ra bởi các cookies của bên khởi tạo, được
theo sau bởi các cookies của trả lời phía đối tác. Thứ tự các cookies được thiết
lập bởi phase1 sẽ tiếp tục chỉ ra IKE SA, bất chấp chiều của nó. Chức năng
chủ yếu của IKE là thiết lập và duy trì các SA. Các thuộc tính sau đây là mức
tối thiểu phải được thống nhất giữa hai bên như là một phần của ISAKMP SA:
 Thuật toán mã hóa.

 Thuật giải băm được sử dụng.
 Phương thức xác thực sẽ dùng.
48
 Thông tin về nhóm và giải thuật DH.
IKE thực hiện quá trình dò tìm, quá trình xác thực, quản lý và trao đổi
khóa. IKE sẽ dò tìm ra một hợp đồng giữa hai đầu cuối IPSec và sau đó SA sẽ
theo dõi tất cả các thành phần của một phiên làm việc IPSec. Sau khi đã dò tìm
thành công, các thông số SA hợp lệ sẽ được lưu trữ trong cơ sở dữ liệu của
SA.
5.5 Ưu và nhược điểm của VPN sử dụng IPSEC

5.5.1 Ưu điểm
An ninh mạng: Do thực tế là IPSec hoạt động ở cấp độ mạng, nó hoàn
toàn vô hình trong các hoạt động của nó. Hơn nữa, người dùng không bắt buộc
phải tương tác với chúng, điều này khiến chúng được đề xuất cho các VPN.
Thêm vào đó bởi vì IPSec hoạt động ở lớp mạng, tất cả lưu lượng đi qua mạng
đều được giám sát. Đó là lý do tại sao các VPN dựa trên IPSec được khuyến
nghị cho các máy khách cần bảo vệ lưu lượng vào cũng như ra.
Ứng dụng trong phụ thuộc: Vì IPSec VPN được vận hành ở cấp độ mạng
nên không có sự phụ thuộc vào ứng dụng ở đây. Bất kể loại ứng dụng nào
được sử dụng, IPSec không phụ thuộc vào nó. Tất cả các ứng dụng trong
IPSec đều được định tuyến bằng IP giúp chúng tương thích. Điều duy nhất
được yêu cầu là sửa đổi trong hệ điều hành.
Bảo mật dữ liệu: Quyền riêng tư của dữ liệu được bảo vệ trong IPSec
bằng cách sử dụng các khóa công khai. Bất kỳ dữ liệu nào được trao đổi giữa
máy chủ và mạng đều sử dụng khóa công khai để đảm bảo an toàn. Ngoài ra,
bằng cách đảm bảo an toàn cho các khóa, người dùng có thể đảm bảo rằng dữ
liệu đến từ máy chủ lưu trữ phù hợp chứ không phải từ bất kỳ trang web giả
mạo nào. Do đó, bất kỳ nội dung nào bên trong gói dữ liệu đều được bảo vệ
khỏi bị nghe trộm và các hình thức gián điệp khác.
49
Hỗ trợ mạng: Do sự hiện diện của Lớp IP, IPSec có thể được triển khai
cho bất kỳ mạng nào từ mọi quy mô. Không phân biệt bất kỳ mạng nào từ
LAN đến WAN, chúng có thể được áp dụng bao gồm cả Internet.
Xác thực: IPSec thực hiện xác thực bằng cách đặt chữ ký số trên mỗi gói
dữ liệu. Bất kỳ hình thức can thiệp nào từ bên thứ ba đều được bảo vệ tại đây.
Do đó, nội dung bên trong tiêu đề gói không thể được sửa đổi nếu không bị
phát hiện. Và nó cũng xác minh danh tính cho 2 đầu của kết nối.
5.5.2 Nhược điểm

 Chi phí CPU: Tất cả dữ liệu đi qua máy cần được mã hóa và giải mã
liên tục. Do đó, IPSec yêu cầu hình thức sức mạnh xử lý cao của CPU.
Điều này đặc biệt bất lợi nếu kích thước của gói dữ liệu nhỏ. Khi
IPSec tạo ra chi phí lớn, hiệu suất của mạng sẽ bị giảm.
 Tính tương thích: Một số nhà phát triển phần mềm không tuân theo
các quy trình của IPSec. Do đó, nó có thể tạo ra các vấn đề tương
thích với một số phần mềm. Hơn nữa, IPSec không có bất kỳ tiêu
chuẩn nhất quán nào cho khả năng tương thích của riêng nó.
 Các thuật toán: Các thuật toán bảo mật trong IPSec dễ bị bẻ khóa. Nếu
bất kỳ ai sử dụng các thuật toán đó, khả năng bảo mật của họ sẽ ở mức
độ rủi ro cao hơn. Tuy nhiên, các mô hình thuật toán mới nhất hiện
nay được biết là có khả năng ngăn chặn những lỗ hổng này.
 Phạm vi truy cập: Vì IPSec cung cấp phạm vi truy cập rộng, nên nó có
cơ hội cao hơn để cấp đặc quyền cho các thiết bị khác trong mạng. Ví
dụ: nếu bất kỳ PC nào gặp phải phần mềm độc hại, tất cả các máy tính
khác trong mạng công ty đều bị ảnh hưởng. Do đó, trừ khi có các phép
đo bảo mật đặc biệt, mạng dựa trên IPSec luôn dễ bị tấn công mạng.
 Hạn chế về tường lửa: Đôi khi do các hạn chế áp đặt trong tường lửa
của công ty, người dùng sẽ không thể truy cập Internet. Ngay cả khi là
50
mạng lưới của công ty riêng. Do đó, chỉ bằng cách liên hệ với quản trị
viên mạng, người dùng có thể truy cập vào mạng tương ứng.
5.6 Giao thức đường hầm L2TP
5.6.1 Khái niệm
L2TP là viết tắt của Layer 2 Tunneling Protocol, một giao thức tunneling
(tạo "đường hầm" truyền dữ liệu qua các mạng). L2TP hỗ trợ tạo mạng riêng
ảo VPN hoặc là một thành phần của mạng phân phối dịch vụ của ISP. L2TP
chỉ sử dụng mã hóa cho tin nhắn điều khiển mà không cung cấp bất cứ lớp mã
hóa hay bảo mật nào cho nội dung dữ liệu.
5.6.2 Cách thức hoạt động
Các gói tin L2TP bao gồm cả payload và header được gửi đi trong các
gói tin UDP (User Datagram Protocol). Một ưu điểm của việc truyền qua UDP
(chứ không phải TCP) là nó tránh được vấn đề TCP meltdown, khi hai giao
thức truyền dẫn có điều khiển chồng lên nhau và xung đột khi cố sửa chữa vấn
đề mất gói tin.
Hai điểm cuối của đường hầm L2TP được gọi là bộ tập trung truy cập
L2TP (LAC – L2TP Access Concentrator) và máy chủ mạng L2TP (LNS –
L2TP Network Server). Lưu lượng mạng trong đường hầm là hai chiều, chia
thành nhiều session sử dụng các giao thức cấp cao hơn như PPP. Cả LAC và
LNS đều có thể khởi động một session, lưu lượng của mỗi session được cách
ly bởi L2TP, vì vậy có thể thiết lập nhiều mạng ảo trên một đường hầm.
Các gói tin được trao đổi trong một đường hầm L2TP được phân loại
thành gói điều khiển hoặc gói dữ liệu. L2TP chỉ cung cấp các tính năng bảo
mật cho các gói điều khiển (control message), không có biện pháp an toàn nào
cho các gói dữ liệu (payload). Vì vậy muốn đảm bảo độ tin cậy cần dựa vào
các bộ giao thức khác lồng trong mỗi session của đường hầm L2TP như
IPSec.
51
L2TP cho phép tạo mạng quay số riêng ảo (VPDN) để kết nối máy khách
từ xa với mạng công ty của nó bằng cách sử dụng cơ sở hạ tầng dùng chung,
có thể là Internet hoặc mạng của nhà cung cấp dịch vụ.
5.6.3 Ưu nhược điểm của L2TP
Ưu điểm:
 L2TP có thể được kết hợp với IPSec để cung cấp mức độ bảo mật trực
tuyến tốt.
 Dễ thiết lập ngay cả với sự kết hợp L2TP/IPSec.
 Được tích hợp trong các hệ điều hành desktop phổ biến là Windows
và MacOS, đồng thời có thể được cấu hình cho nhiều thiết bị và hệ
điều hành khác.
 Tốc độ tương đối cao do không có phương thức bảo mật.
Nhược điểm.
 L2TP không có các phương thức mã hóa riêng, do đó phải được ghép
nối với các bộ giao thức mã hóa khác như IPSec để có khả năng bảo
mật. Việc kết hợp này có thể gây hao tốn tài nguyên và làm chậm tốc
độ xử lý.
 L2TP có thể bị tường lửa NAT (Network Address Translation) chặn
nếu nó không được cấu hình thêm để bỏ qua chúng.
5.7 Lab cấu hình L2TP/IPSEC

5.7.1 Chuẩn bị
Hình 5.1 Mô hình L2TP/IPSec
52
Cần chuẩn bị một VPS/Server chạy hệ điều hành CentOS 7 và cập nhật
phần mềm mới nhất bằng lệnh: # yum update -y
Tiếp theo tắt SELinux để tránh các lỗi phát sinh bằng lệnh:
# nano /etc/sysconfig/selinux (Sửa giá trị “SELINUX=enforcing” thành

“SELINUX=disabled”)
Sau khi cập nhật xong và tắt SELinux ta phải khởi động lại máy chủ để
nhận cấu hình mới.
5.7.2. Các bước cài đặt

- Cài đặt giao thức L2TP: Mặc định trên CentOS 7 chưa hỗ trợ sẵn giao
thức L2TP nên cần cài vào máy chủ hai gói sau.
#yum install epel-release
#yum install xl2tpd libreswan
- Thiết lập các thông số trong nhân Linux: Để luồng dữ liệu từ các máy
client kết nối vào VPN Server cần thiết lập các thông số bên dưới vào nhân
Linux. Thực hiện mở file “sysctl.conf ” tại đường dẫn sau:
#nano /etc/sysctl.conf
Hình 5.2 Các thông số trong nhân Linux
53
Sau khi cấu hình xong tiến hành save lại và dùng lệnh sau để nhân Linux
nhận các thiết lập này:
#sysctl -p
- Cấu hình IPSec: IPSec là một giao thức bảo mật dùng để mã hóa thông
tin. Mặc định IPSec đã có sẵn trên CentOS 7 nên các bạn chỉ cần cấu hình
thông số theo ý muốn mà không cần phải cài đặt. Các bạn mở file cấu hình tại
đường dẫn sau:
#nano /etc/ipsec.d/l2tp_psk.conf
Hình 5.3 Cấu hình IPSec
Tiếp đến cấu hình mật khẩu Pre-Shared Key (PSK), đây là mật khẩu
chung được gửi tới toàn bộ client muốn kết nối đến VPN phải nhập mật khẩu
này.
#nano /etc/ipsec.secrets
54
Hình 5.4 Cấu hình mật khẩu PSK
Tiếp đến là bật dịch vụ IPSec lên và kiểm tra.
#systemctl start ipsec.service
Hình 5.5 Kiểm tra dịch vụ IPSec
#ipsec verify
Cho phép IPSec tự bật khi khởi động lại server.
#systemctl enable ipsec
- Cấu hình dịch vụ xl2tpd: Đây là dịch vụ giúp chúng ta tương tác được
với giao thức L2TP. Tại đây các thông số được cấu hình như địa chỉ IP cấp
phát, cách thức xác thực cũng như quản lý user đăng nhập.
Đầu tiên tiến hành mở file và cấu hình dịch vụ:
55
#nano /etc/xl2tpd/xl2tpd.conf
Hình 5.6 Cấu hình dịch vụ xl2tpd
Tiếp đến mở file “options.xl2tpd”
#nano /etc/ppp/options.xl2tpd
Xóa hết nội dung bên trong và thay thế vào nội dung mới bên dưới:
Hình 5.7 Cấu hình options.xl2tpd
Tiếp đến là khai báo username và password cho từng client trong file
sau: #nano /etc/ppp/chap-secrets
56
Hình 5.8 Khai báo username và password
Khởi động dịch vụ xl2tpd lên và cho phép khởi động cùng server bằng
hai lệnh sau:
- Cấu hình firewall:
Cần cấu hình mở port và cho phép gói tin đi qua card mạng trên server
bằng cách gõ trực tiếp các lệnh sau.
Hình 5.9 Cấu hình firewall
5.7.3 Kiểm tra kết quả

- Đăng nhập máy client (windows 7):
Đầu tiên vào (Control Panel -> Network and Internet -> Network and
sharing Center -> Set up a new connection ỏ network -> Connect to a
workplace -> Use my Internet connection (VPN))
Tại đây đăng nhập địa chỉ ip của máy chủ và tên sau đó nhấn Next
57
Hình 5.10 Đăng nhập địa chỉ máy chủ.
Hình 5.11 Đăng nhập tên và mật khẩu
Sau đó nhập tên và mật khẩu rồi chọn Connect
Tiếp theo nhấn vào VPNserver chọn Properties, ở General (nhập ip máy
chủ), ở Options (bỏ chọn “include Windows logon domain”), ở Security (type
of VPN "Layer 2 tunneling protocol with IPsec (L2TP/IPsec), Data encryption
"Optional encryption (connect even if no encryption)").
58
Hình 5.12 Đăng nhập VPN thành công
Hình 5.13 Kết nối VPN thành công
59
IPSec là một trong những giao thức cần có khi cấu hình VPN bởi vì IPSec có
hai cơ chế cơ bản để đảm bảo an toàn dữ liệu đó là AH và ESP, trong hai cơ chế này
thì một cơ chế cho phép xác thực nguồn gốc dữ liệu và một cơ chế cung cấp tính an
toàn cho các gói tin truyền, đó là một trong những yếu tố quan trọng để có thể mã
hóa và bảo mật thông tin.
Vai trò của IPSec là cho phép xác thực hai chiều, mã hóa đường truyền, bảo vệ
các gói dữ liệu và bảo vệ ip, điều này rất quan trọng đối với mỗi doanh nghiệp, nó
không chỉ bảo vệ thông tin của bạn mà còn giúp đường truyền của bạn trở nên an
toàn hơn và tránh những cuộc tấn công mạng không bảo mật.
Trong bài lab về cấu hình hệ thống VPN kết hợp với IPSec trên môi trường
Linux, nhóm đã kết hợp thêm giao thức L2TP một trong những giao thức được sử
dụng phổ biến nhất hiện nay. Sự kết hợp giữa IPSec và L2TP là sự kết hợp hoàn
hảo nó không những hỗ trợ cho nhau mà còn làm tăng thêm tính bảo mật cho hệ
thống, điều đó thực sự cần thiết cho doanh nghiệp.
Như một chuẩn, IPSec nhanh chóng trở thành phương pháp được đánh giá cao
để bảo mật thông tin trong mạng TCP/IP. Được thiết kế để hỗ trợ nhiều lược đồ mã
hóa và xác thực và tính tương giao giữa nhiều người bán hàng, IPSec có thể được
thay đổi để thích hợp với các yêu cầu bảo mật của cả các tổ chức lớn hay nhỏ. Các
nền công nghiệp dựa trên công nghệ liên mạng để liên lạc với các đối tác làm ăn sẽ
có lợi nhờ vào các lược đồ xác thực và mã hóa của IPSec, các tổ chức lớn sẽ có lợi
nhờ tính mở rộng được khả năng quản lý tập trung của IPSec, mỗi công ty đều có
lợi từ khả năng tạo mạng riêng ảo của IPSec để hỗ trợ những nhân viên làm việc từ
xa, những nhân viên hay đi công tác và văn phòng chi nhánh sẽ truy nhập vào công
ty qua Internet.
60
CHƯƠNG 6 KẾT LUẬN
6.1 Kết luận
Thông qua quá trình tìm hiểu và xây dựng hệ thống VPN trên Linux nhóm đã
tìm hiểu những ưu điểm của hệ thống VPN khi chuyển từ hệ thống Windows sang
hệ thống mã nguồn mở, từ đó thấy được những lợi ích nhất định khi sử dụng hệ điều
hành mã nguồn mở để xây dựng mạng riêng ảo.
Hoàn thành nhiệm vụ của đề tài đưa ra, xây dựng thành công hệ thống mạng
riêng ảo trên trên hệ điều hành Linux với các thiết bị và cơ sở hạ tầng phù hợp với
sự phát triển của kỹ thuật và phù hợp với nền kinh tế tài chính Việt Nam hiện tại.
Thông qua quá đó nhóm đã cơ bản hoàn thành được mục tiêu đề ra là:
 Tổng hợp các kiến thức về VPN.

 Hoàn thành triển khai VPN server hoàn chỉnh trên hệ điều hành Linux.
 Xây dựng thành công hệ thống VPN client – to – site để người dùng có thể kết
nối từ xa vào mạng riêng ảo của công ty.
 Xây dựng thành công hệ thống VPN site – to – site có thể kết nối được các
mạng LAN lại với nhau.
 Xây dựng thành công hệ thống VPN kết hợp IPSec có thể đảm bảo tính bảo
mật cho hệ thống.
Bằng sự nỗ lực và tinh thần tìm hiểu, nhóm áp dụng những kiến thức đã học từ
Trường Đại học Giao Thông Vận Tải Thành Phố Hồ Chí Minh thông qua môn
Quản Trị Mạng và Hệ Điều Hành Linux nhóm đã thực hiện vào mô hình VPN thực
tế gồm xây dựng hệ thống VPN client – to – site, VPN site – to – site và VPN
IPSec. Thông qua đó nhóm đã học hỏi được cách xây dựng và triển khai hệ thống
VPN trên hệ điều hành Linux cũng như những bước cấu hình bên trong hệ thống.
Tuy nhiên vì hạn chế về năng lực nên chưa thể đi sâu vào tìm hiểu các vấn đề
của hệ thống mà chỉ dừng lại ở mức cấu hình các máy server và client thấy được với
nhau và giao tiếp giữa các mạng.
61
Trong quá trình thực hiện đề tài, bên cạnh những thành công cũng có nhiều
phần còn hạn chế và thiếu sót đa phần nằm ở sự tỉ mỉ và tinh tế trong việc thực hiện
bài báo cáo.
Trong thời gian tới nhóm sẽ cố gắng phát triển và nghiên cứu sâu hơn về VPN
trên Linux để có thể triển khai ở mô hình thực tế cho doanh nghiệp trong tương lai
gần.
6.2 Hướng phát triển

Trong đề tài về xây dựng hệ thống VPN trên hệ điều hành Linux là một trong
những đề tài khá hay và thực tế cho doanh nghiệp. Nếu có thể phát triển nhóm sẽ
quan tâm nhiều hơn đến vấn đề bảo mật và mã hóa dữ liệu, mã hóa đường truyền vì
trong hệ thống VPN điều quan trọng không chỉ dừng ở việc truyền dữ liệu nội bộ
giữa các client hay các server với nhau mà còn nằm ở vấn đề bảo mật và mã hóa.
Điều này có thể thực hiện bằng sự kết hợp giữa OpenVPN với Freeradius và Mysql
vào hệ thống, nên việc một tài khoản nào đó đăng nhập vào sẽ phải chịu 2 lần chứng
thực, 1 lần của Freeradius và 1 lần OpenVPN nên tính bảo mật của hệ thống được
tăng cường đáng kể.
VPN là công nghệ được sử dụng phổ biến hiện nay nhằm cung cấp kết nối an
toàn và hiệu quả để truy cập tài nguyên nội bộ công ty từ bên ngoài thông qua mạng
Internet. Mặc dù sử dụng hạ tầng mạng chia sẻ nhưng chúng ta vẫn bảo đảm được
tính riêng tư của dữ liệu giống như đang truyền thông trên một hệ thống mạng
riêng.
Bên cạnh đó, chúng ta cũng cần thương mại hóa dịch vụ VPN hay VPN
thương mại, là một dịch vụ riêng được cung cấp trực tiếp cho các cá nhân, thường
có tính phí. ExpressVPN là một dịch vụ VPN như vậy vì nó trực tiếp đáp ứng nhu
cầu riêng tư của khách hàng.
62
Không những thế, nghiên cứu xây dựng hệ thống VPN cho doanh nghiệp cung
cấp dịch vụ cho khách hàng, cho phép nhân viên từ xa của tổ chức kết nối an toàn
với Internet như thể họ đang có mặt thực tế tại văn phòng.
63
TÀI LIỆU THAM KHẢO
[1]. 7host. Từng bước xây dựng server VPN L2TP/IPSec trên CentOS 7.
10/11/2022. https://www.7host.vn/tung-buoc-xay-dung-server-vpn-l2tp-ipsec-tren-
centos-7/
[2]. Andreas Steffen, Martin Willi & Tobias Brunner. strongSwan. 22/11/2022.
https://en.wikipedia.org/wiki/StrongSwan
[3]. Checkpoint. What Is a site to site VPN. 22/10/2022.
https://www.checkpoint.com/cyber-hub/network-security/what-is-vpn/what-is-a-
site-to-site-vpn/
[4]. David Janssen. What is a VPN? How Does it Work and Why Do You Need One.
22/09/2022. https://vpnoverview.com/vpn-information/what-is-a-vpn/
[5]. ExpressVPN. What is a VPN? 23/11/2022.
https://www.expressvpn.com/go/what-is-vpn-1
[6]. Kliment Andreev. CentOS, pfSense: Site-to-site VPN tunnel with strongswan
and pfSense. 14/11/2022. https://blog.andreev.it/2019/03/150-centos-pfsense-site-
to-site-vpn-tunnel-with-strongswan-and-pfsense/
[7] Giang. L2TP là gì? Ứng dụng giao thức L2TP trong môi trường công việc.
22/11/2022. https://bizflycloud.vn/tin-tuc/l2tp-la-gi-20210721152306927.htm
[8]. Ladigi. Dùng VPN Server riêng bảo vệ an toàn trên mạng – cách cài đặt và kết
nối VPN. 08/10/2022. https://ladigi.vn/dung-vpn-server-rieng-bao-ve-an-toan-tren-
mang-cach-cai-dat-va-ket-noi-vpn
[9]. Peter Loshin, Stephen J. Bigelow. Linux operating system. 22/09/2022.

https://www.techtarget.com/searchdatacenter/definition/Linux-operating-system
64

TTTN

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

TTTN

Uploaded by

Copyright:

Available Formats

TRƯỜNG ĐẠI HỌC GIAO THÔNG VẬN TẢI TP.

KHOA CÔNG NGHỆ THÔNG TIN

THỰC TẬP TỐT NGHIỆP

TRIỂN KHAI VÀ QUẢN LÝ MÔ HÌNH MẠNG DOANH

KHOA: CÔNG NGHỆ THÔNG TIN

CHUYÊN NGÀNH: MẠNG MÁY TÍNH VÀ TRUYỀN THÔNG

Giảng viên hướng dẫn: Ts. Trần Thế Vinh

Sinh viên thực hiện:

Họ và tên: Nguyễn Thế Hiển

Hồ Chí Minh ........Tháng....... Năm 2023

Hồ Chí Minh ........Tháng....... Năm 2023

DANH MỤC HÌNH ẢNH..........................................................................................v

DANH MỤC CÁC TỪ VIẾT TẮT..........................................................................vii

LỜI CAM ĐOAN......................................................................................................ix

LỜI CẢM ƠN.............................................................................................................x

CHƯƠNG 1: GIỚI THIỆU ĐỀ TÀI...........................................................................2

1.1 Giới thiệu chung................................................................................................2

1.2 Mục tiêu của đề tài............................................................................................3

1.3 Nhiệm vụ của đề tài...........................................................................................4

1.4 Kết quả đạt được...............................................................................................4

1.5 Bố cục đề tài......................................................................................................4

2.1 Khái quát hệ điều hành Linux...........................................................................5

2.1.1 Khái niệm về Linux.....................................................................................6

2.1.2 Các ưu điểm và nhược điểm của hệ điều hành Linux.................................6

2.2 Tổng quan về VPN............................................................................................7

2.2.1 VPN là gì?..................................................................................................8

2.2.2 Lợi ích của VPN.........................................................................................8

2.2.3 Chức năng VPN..........................................................................................9

2.2.4 Cách thức hoạt động của VPN.................................................................10

CHƯƠNG 3 XÂY DỰNG VPN CLIENT - TO - SITE...........................................12

3.1 Tổng quan VPN client - to - site (Remote Access VPN)................................12

3.2 Một số thành phần chính.................................................................................13

3.3 Ứng dụng.........................................................................................................13

3.4 Ưu điểm và nhược điểm của hệ thống.............................................................14

3.4.2 Nhược điểm...............................................................................................14

3.5 Giao thức OpenVPN.......................................................................................15

3.5.1 Tổng quan.................................................................................................15

3.5.2 Cách thức hoạt động.................................................................................16

3.6 Lab cấu hình VPN client-to-site......................................................................17

3.6.1 Cấu hình VPN client-to-site......................................................................17

3.6.2 Đăng nhập................................................................................................20

3.7 Tổng kết chương 3..........................................................................................21

CHƯƠNG 4 XÂY DỰNG VPN SITE - TO – SITE TRÊN LINUX.......................22

4.1 Tổng quan về VPN site-to-site........................................................................22

4.1.1 Khái niệm về VPN site-to-site...................................................................22

4.1.2 Lợi ích của VPN site-to-site......................................................................23

4.1.3 Hạn chế của VPN site-to-site....................................................................23

4.1.4 Ứng dụng của VPN site-to-site.................................................................24

4.2 Mô hình VPN site-to-site................................................................................25

4.3 Sơ lược về Strongswan....................................................................................26

4.4.1 Chuẩn bị...................................................................................................26

4.4.2 Cấu hình VPN Strongswan.......................................................................29

4.4.3 Kiểm tra kết nối site – to - site giữa 2 server...........................................33

4.5 Tổng kết chương 4..........................................................................................39

CHƯƠNG 5: VPN VỚI IPSEC TRÊN MÔI TRƯỜNG LINUX.............................40

5.1 Tổng quan IPSec.............................................................................................40

5.1.1 Khái niệm về IPSec...................................................................................40

5.1.2 IPsec trên VPN.........................................................................................40

5.2 Cách thức hoạt động của IPSec.......................................................................41

5.3 Kiến trúc IPSec................................................................................................42

5.4 Các giao thức sử dụng trong IPSec.................................................................43

5.4.1 Giao thức AH............................................................................................43

5.4.2 Giao thức Encapsulating Security Payload (ESP)...................................44

5.4.3 Quản lý khóa với Internet Key Exchange (IKE).......................................45